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Procede, systeme, dispositif pour diminuer la charge de travail pendant 
une session destinee a prouver 1'authenticite d'une entite et/ou l'origine 
et Pintegrite d'un message. 

La pr^sente invention concerne les precedes, les systemes ainsi que les 
ciispositifs destines k prouver 1'authenticite d'une entite et/ou l'origine et 
1' integrity d'un message. 

Le brevet EP 0 311 470 Bl dont les inventeurs sont Louis Guillou et Jean- 
Jacques Quisquater decrit un tel procede. On y fera ci-apres reference en le 
d6signant par les termes : « brevet GQ » ou « procede GQ ». 
Selon le procede GQ, une entite appelee « autorite de confiance » attribue 
une identite a chaque entite appel6e « temoin » et en calcule la signature 
RSA; durant un processus de personnalisation, 1' autorite de confiance 
donne identity et signature au temoin. Par la suite, le temoin proclame : 
« Void mon identite ; j'en connais la signature RSA. » Le temoin prouve 
sans la r6veler qu'il connait la signature RSA de son identite. Grace a la cl6 
publique de verification RSA distribute par F autorite de confiance, une 
entite appelee « cohtroleur » verifie sans en prendre connaissance que la 
signature RSA correspond & F identite proclamee. Les mecanismes utilisant 
le procede GQ se deroulent « sans transfert de connaissance ». Selon le 
procede GQ, le temoin ne connait pas la cle privee RSA avec laquelle 
F autorite de confiance signe un grand nombre d'identites. La securit6 du 
procede GQ est au mieux equivalente a la connaissance de la signature 
RSA de F identite. II y a equivalence lorsque Fexposant public de 
verification RSA est un nombre premier. 

Le procede GQ met en oeuvre des calculs modulo des nombres de 512 bits 
ou davantage. Ces calculs concernent des nombres ayant sensiblement la 
meme taille eleves a des puissances de Fordre de 2 16 + 1. Or les 
infrastructures microelectroniques existantes, notamment dans le domaine 
des cartes bancaires, font usage de microprocesseurs auto-programmables 



monolithiques depburvus de coprocesseurs arithmetiques. La charge de 
travail liee aux multiples operations arithmetiques impliquees par des 
precedes tels que le procede GQ, entraine des temps de calcul qui dans 
certains cas s'averent penalisant pour les consommateurs utilisant des cartes 
bancaires pour acquitter leurs achats. II est rappele ici, qu'en cherchant k 
accroitre la s6curite des cartes de paiement, les autorites bancaires posent 
un probleme particulierement delicat a resoudre. En effet, il faut trailer 
deux questions apparemment contradictoires : augmenter la s6curit6 en 
utilisant des cles de plus en plus longues et distinctes pour chaque carte tout 
en evitant que la charge de travail n' entraine des temps de calcul prohibitifs 
pour les utilisateurs. Ce probleme prend un relief particulier dans la mesure 
ou, en outre, il convient de tenir compte de T infrastructure en place et des 
composants microprocesseurs existants. 

L' invention a pour objet d'apporter une solution a ce probleme tout en 
renforgant la securite. Plus particulierement, F invention conceme un 
procede pour diminuer la charge de travail pendant une session destinee a 
prouver a un controleur, 

- 1'authenticite d'une entite et/ou 

- Forigine et Fintegrite d'un message m. 

Procede 

Le procede selon F invention, met en ceuvre les trois entites ci-apres 
definies. 

I. Une premiere entite, appelee temoin, dispose des facteurs premiers p,, p 2 , 
... (p., ...) (i etant superieur ou egal a 2) d'un module public n tel que n = 

p,.p 2 . p 3 Le temoin dispose aussi 

* des composantes QA P QA 2 , ... (Q^ , ...), et QB„ QB 2 , ... (QB, , ...), 
representant des cles privees QA, QB, ... 

* des cles publiques GA, GB, ... ay ant respectivement pour 
composantes GA l5 GA 2 , ... (GA., ...) et GB,, GB 2 , ... (GB., ...) 



* des exposants publics de verification vx, vy, ... 

Les cles privees et les cles publiques sont liees par des relations du type : 

GA.QA" mod n = 1 ou GA = QA vx mod n 
Les exposants publics de verification vx, vy, ... sont utilises par le temoin 
pour calculer des engagements R en effectuant des operations du type : 

R s r vx mod p. 
ou r. est un alea tel que 0 < r, < p, . 

Ainsi, selon le nouveau procede, les rdles de temoin et d'autorite de 
confiance fusionnent. Chaque t6moin utilise la factorisation p l9 p 2 , ... (p. , 
...) de son propre module public n. De sorte que le nombre d' operations 
arithmetiques modulo p. h effectuer pour calculer chacun des R. pour 
chacun des p. est reduit par rapport a ce qu'il serait si les operations etaient 
effectuees modulo n, L* usage de la factorisation du module n reduit 
significativement la charge de travail du temoin. Par rapport au procede 
GQ, et a fortiori par rapport a d'autres precedes tel que le procede RSA de 
signature, le procede selon T invention permet de substantielles economies 
de calcul, en particulier pour Tauthentification. 

II. Le procede selon 1' invention met en ceuvre une deuxieme entite pilote 
dudit temoin. Cette entite pilote est appelee 

* demonstrateur dans le cas de la preuve de Tauthenticite d'une entite 
ou de l'authenticite d'un message, 

* signataire dans les cas de la preuve de Torigine et de Tintegrite d'un 
message. 

On verra ci-apres quel est son r61e. 

III. La troisieme entite, appelee controleur, verifie l'authentification ou 
Torigine et Fintegrite d'un message. 

Selon F invention, le temoin regoit de la deuxieme entite pilote ou du 
controleur un ou plusieurs defis d tel que 0 < d < vx - 1 et calcule a partir de 
ce defi une ou plusieurs reponses D en effectuant des operations du type : 



D. = r. . QA. d mod p, 

ou r. est un alea tel que 0 < r. < p t 

On constatera ici, de meme que precedemment, que le nombre d' operations 
arithrnetiques modulo p. a effectuer pour calculer chacune des reponses D, 
pour chacun des p { est reduit par rapport a ce qu'il serait si les operations 
etaient effectuees modulo n. 

Le controleur re9oit, selon le cas, une ou plusieurs reponses D. II calcule, a 
partir desdites reponses D, les engagements R' en effectuant des operations 
du type : 

R\= GA \ D T * modn 

ou du type : 

R'..GA d =D vx modn 
Le controleur peut alors verifier que les triplets {R% d, D} sont coherents. 
Dans le cas general qui vient d'etre expose, il y a plusieurs exposants de 
verifications vx, vy, .... On va maintenant exposer F invention dans le cas 
ou Fexposant de verification v est unique. 

Cas ou Fexposant de verification v est unique 
De meme que precedemment, ]e procede selon 1' invention met en ceuvre 
trois entites : 

I. Une premiere entite, appelee temoin, dispose des facteurs premiers p,, p 2 , 
... (p. , (i etant superieur ou egal a 2) d'un module public n tel que n = 

PrP 2 - P 3 

Le t6moin dispose aussi 

* des composantes QA,, QA 2 , ... (QA., ...), et QB 1? QB 2 , ... (QB., ...), 
representant des cles privees QA, QB, ... 

* des cles publiques GA, GB, ... ay ant respectivement pour 
composantes GA,, GA 2 , ... (GA., ...) et GB„ GB 2 , ... (GB., ...) 

* de Fexposant public de verification v 

Dans ce cas comme dans le precedent, il est prevu plusieurs paires de cles 



referencees A, B, ... 

Les paires de cles privees et publiques sont liees par des relations du type : 

GA.QA" mod n = 1 ou GA = QA'mod n 
L'exposant public unique de verification v est utilise par le temoin pour 
calculer des engagements R. A cet effet : 

• il effectue des operations du type : 

R = r, v mod p, 

ou r, est un entier, tire au hasard, associe au nombre premier p,, tel que 0 < 
r. < p. , appartenant a au moins une collection d'aleas {r„ r„ r 3 , ...}, 

• puis il applique la methode dite des restes chinois, (on d6crira ci-apres la 
methode des restes chinois qui est connue en soi). 

II y a autant d'engagements R que de collections d'aleas {r„ r 2 , r„ ...}, 
Bien entendu, dans ce cas comme dans le cas general precedent, le nombre 
d'operations arithmetiques modulo p, a effectuer pour calculer chacun des 
R, pour chacun des p, est reduit par rapport a ce qu'il serait si les 
operations etaient effectuees modulo n. 

II. La deuxieme entite pilote dudit temoin est appelee : 

* demonstrates dans le cas de la preuve de l'authenticite d'une entite 
ou de l'authenticite d'un message, 

* signataire dans les cas de la preuve de 1'origine et de l'integrite d'un 
message, 

III. La troisieme entite, appelee controleur, verifie l'authentification ou 
1'origine et l'integrite d'un message. 

Plus particulierement, dans le cas de cette variante de realisation le t6moin 
recoit de la deuxieme entite ou du contrdleur, des collections de defis d 
{dA, dB, ...} tels que 0 < dA < v - 1. Le nombre des collections de d6fis d 
est egal au nombre d'engagements R. Chaque collection {dA, dB, ...} 
comprend un nombre de defis egal au nombre de paires de cles. 
Le temoin calcule a partir de chacune desdites collections de defis {dA, dB, 
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...} des reponses D. A cet effet : 

• il effectue des operations du type : 

D f = r. QA, . QB. 43 . ... mod p, 

• puis il applique la methode des restes chinois. 

II y a autant de reponses D que d' engagements R et de defis d. 
II convient de souligner, ici aussi, que le nombre d' operations arithmetiques 
modulo p, a effectuer pour calculer chacun des D, pour chacun des p, est 
reduit par rapport a ce qu'il serait si les operations etaient effectuees 
modulo n. 

Le controleur re?oit une reponse D. II calcule a partir de cette reponse un 
engagement R' en effectuant des operations du type : 

R'= GA dA . GB dB . _D V mod n 

ou du type : 

R> . GA dA . GB dB . ...= D v mod n 
Le controleur verifie que les triplets {R% d, D} sont coherents. 
Ainsi, grace a la presente invention, le temoin qui proclame : « Void une 
cle publique de verification ( v, n) et une cle publique GA ; je connais la 
factorisation de n et la cle privee QA » prouve sans la reveler qu'il connail 
la cle privee QA. Le controleur verifie la cle privee QA sans en prendre 
connaissance. Les mecanismes se deroulent « sans transfert de 
connaissance ». On le verra ci-apres, que le procede selon T invention 
autorise certaines paires de cles telles que la connaissance de la cle privee 
QA est equivalente a la connaissance de la factorisation du module n. 
On va maintenant exposer les variantes de realisation de P invention 
concernant : 

- le cas d'une authentication d'entite, 

- le cas d'une authentification de message, 

- le cas d'une signature numerique de message. 

Cas d'une authentification d'entite 
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Cas ou l'exposant de verification v est unique. 

Dans le cas de cette variante de realisation particuliere, la session est 
destinee a prouver a un controleur l'authenticite d'une entite. 
Comme dans le cas general, la session met en ceuvre trois entites. 

I. Une premiere entite, appelee temoin, dispose des facteurs premiers p t , p 2 , 
... (p. , ...) (i etant superieur ou egal a 2) d'un module public n tel que n = 

PrP 2 - P 3 - — » 

Le temoin dispose aussi : 

* des composantes QA„ QA 2 , ... (QA., ...), et QB„ QB 2 , ... (QB. , ...), 
representant des cles privees QA, QB, ... 

* des cles publiques GA, GB, ... ayant respectivement pour 
composantes GA f , GA 2 , ... (GA. , ...) et GB t , GB 2 , ... (GB., ...) 

* de Texposant public de verification v 

Les paires de cles privees et publiques sont liees par des relations du type : 
GA.QA V mod n = 1 ou GA = QA v mod n 

II. La deuxieme entite, pilote dudit temoin, est appelee demonstrateur. 

III. La troisieme entite, appelee controleur, verifie Tauthentification. 
Pour prouver l'authenticite d'une entite, le temoin, le demonstrateur et le 
controleur executent les etapes suivantes : 

• etape 1. engagement R du temoin : 
A chaque appel, le temoin tire au hasard et en prive au moins une collection 
de nombres entiers {r 1? r 2 , r 3 , ...},telle que, pour chaque facteur premier p., 
chaque collection comporte un alea r.positif et plus petit que p. , 
Pour chaque facteur premier p. , le temoin eleve chaque alea r. a la 
puissance v ieme modulo p. 

R. = r. v mod p. 

On notera que le nombre d'operations arithmetiques modulo p l a effectuer 
pour calculer chacun des R, pour chacun des p, est reduit par rapport a ce 
qu'il serait si les operations etaient effectuees modulo n. 



Puis, le temoin etablit chaque engagement R modulo n selon la m6thode 
des restes chinois. 

II y a autant d* engagements R que de collections d'al6as {r„ r 2 , r 3 , ...}, 

• etape 2. defi d destine au temoin : 

Le ddrnonstrateur transmet tout ou partie de chaque engagement R au 
controleur. 

Le contrdleur, apres avoir re9u tout ou partie de chaque engagement R, 
produit au moins une collection de d6fis d {dA, dB, ...} tels que 0 < dA < v 
- 1. Le nombre des collections de d6fis d est egal au nombre d* engagements 
R. Chaque collection {dA, dB, ...} comprend un nombre de d6fis 6gal au 
nombre de paires de cl6s. 

• etape 3. reponse du temoin au defi d : 

Le temoin calcule des reponses D k partir des collections de d6fis d {dA, 
dB, ...} refues du controleur. A cet effet : 
il effectue des operations du type : 

Dj = r s . QA, . QB, ** . ... mod p, 
puis, il applique la methode des restes chinois. 

Le nombre d'operations arithmetiques modulo p 5 a effectuer pour calculer 
chacun des D, pour chacun des p t est reduit par rapport k ce qu'il serait si 
les operations etaient effectu6es modulo n. 

II y a autant de reponses D calculees par le temoin que d' engagements R et 
de defis d. 

• etape 4. donnees destinees au controleur : 

Le demonstrates transmet au contr61eur chaque reponse P. 

• etape 5. verification par le controleur : 

Le controleur calcule a partir de chaque reponse D un engagement R' en 
effectuant des operations du type : 

R'-GA dA .GB d \.„D v modn 
ou du type : _ 



R'- GA dA . GB dB . ...= D v mod n 

Le contrdleur verifie que chaque engagement reconstruit R' reproduit tout 
ou partie de chaque engagement R transmis a l'6tape 2 par le 
d6monstrateur. 

Cas d'une authentification de message 
cas ou 1'exposant de verification v est unique. 

Dans le cas de cette variante de realisation particuliere, la session est 
destinee a prouver a un controleur 1' authenticity d'un message m. 
Comme dans le cas gen6ral, la session met en oeuvre trois entites. 

I. Une premiere entity, appelee temoin, dispose des facteurs premiers p„ p 2 , 
... (p, , ...) (i etant superieur ou egal a 2) d'un module public n tel que n = 
Pi-P 2 - P 3 

Le temoin dispose aussi : 

* des composantes QA„ QA 2 , ... (QA S , ...), et QB„ QB 2 , ... (QB,, ...), 
.... representant des cles privees QA, QB, .„ 

* des cl6s publiques GA, GB, ... ayant respectivement pour 
composantes GA,, GA 2 , ... (GA., ...) et GB„ GB 2 , ... (GB ) 

* de l'exposant public de verification v 

Les paires de cles privees et publiques sont liees par des relations du type : 
GA.QA" mod n = 1 ou GA = QA'mod n 

II. Une deuxieme entite, pilote du temoin, est appel6e d^monstrateur. 

III. Une troisieme entite, appelee controleur, verifie 1' authenticity d'un 
message. 

Pour prouver l'authenticite d'un message le temoin, le demonstrateur et le 
contrdleur ex6cutent les etapes suivantes : 

• etape 1. engagement R du temoin : 
A chaque appel, le temoin tire au hasard et en prive au moins une collection 
de nombres entiers {r„ r 2 , r 3 , ...}, telle que pour chaque facteur premier p s , 
chaque collection comporte un alea r.positif et plus petit que p s . 
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Pour chaque facteur premier p. , le temoin eleve chaque alea r s a la 
puissance v ieme modulo p. 

R = r/ mod p s 

(de sorte que le nombre cooperations arithmetiques modulo p f a ejfectuer 
pour calculer chacun des R t pour chacun des p t est reduit par rapport a ce 
qu 'il serait si les operations etaient effectuees modulo n) 
Puis, le t6moin etablit chaque engagement R modulo n selon la m^thode 
des restes chinois. 

II y a autant d'engagements R que de collections d'aleas {r,, r 2 , r 3 , ...}, 

• etape 2. defi d destine au temoin : 

Le demonstrateur applique une fonction de hachage f ayant comme 
arguments le message m et chaque engagement R pour obtenir un jeton T. 
Le demonstrateur transmet le jeton T au contrdleur, 

Le controleur, apres avoir re9u le jeton T, produit au moins une collection 
de defis d {dA, dB, .„} tels que 0 < dA < v - 1. Le nombre des collections 
de d6fis d est egal au nombre d' engagements R. Chaque collection {dA, 
dB, ..•} comprend un nombre de defis egal au nombre de paires de cles. 

• etape 3. reponse du temoin au defi d : 

Le temoin calcule les reponses D a partir des collections de defis d {dA, 
dB, ...} re9ues du contr61eur. A cet effet, 
il effectue des operations du type : 

D s = r . QA. " . QB. ** . ... mod p. 
puis, il applique la methode des restes chinois. 

Le nombre d* operations arithmetiques modulo p, a effectuer pour calculer 
chacun des D, pour chacun des p t est reduit par rapport a ce qu'il serait si 
les operations 6taient effectuees modulo n. 

II y a autant de reponses D calculees par le temoin que d*engagements R et 
de d6fis d. 

• etape 4. donnees destinees au controleur : 
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Le demonstrateur transmet au contrdleur chaque reponse D. 

• etape 5. verification par le contrdleur : 
Le contr61eur calcule a partir de chaque r6ponse D un engagement R' en 
effectuant des operations du type : 

R' — GA -A . GB dB . ...D" mod n 

ou du type : 

R'« GA dA . GB dB . ...= D" mod n 

Le contrdleur applique la fonction de hachage f ayant comme arguments le 
message m et chaque engagement reconstruit R' pour reconstruire le jeton 
T\ 

Le contrdleur verifie que le jeton T' est identique au jeton T transmis a 
l'etape 2 par le demonstrateur. 

Cas d'une signature numerique de message 
Cas ou l'exposant de verification v est unique. 

Dans le cas de cette variante de realisation particuliere, la session est 
destinee a prouver a un contrdleur la signature numerique d'un message m. 
Comme dans le cas general, la session met en oeuvre trois entites. 

I. Une premiere entite appelee temoin dispose des facteurs premiers p„ p 2 , 
... (p. , ...) (i etant superieur ou egal a 2) d'un module public n tel que n = 
P,-P 2 - P 3 

Le temoin dispose aussi 

* des composantes QA„ QA 2 , ... (QA., ...), et QB„ QB 2 , ... (QB,, ...), 
representant des cl€s privees QA, QB, ... 

* des cles publiques GA, GB, ... ayant respectivement pour 
composantes GA,, GA 2 , ... (GA,, ...) et GB„ GB 2 , ... (GB,, ...) 

* de l'exposant public de verification v. 

Les paires de cles privees et publiques sont liees par des relations du type : 
GA.QA* mod nslou GA = QA T mod n 

II. Une deuxieme entit6, pilote dudit temoin, est appelee signataire. 



III. Une troisieme entite, appel£e controleur, verifie la signature du message 
m. 

Pour prouver la signature d'un message le temoin, le demonstrates et le 
contrSleur executent les 6tapes suivantes : 

• etape 1. engagement R du temoin : 

A chaque appel, le temoin tire au hasard et en priv6 au moins une collection 
de nombres entiers {r„ r 2 , r 3 , ...},telle que, pour chaque facteur premier p p 
chaque collection comporte un a!6a i^positif et plus petit que p, . 
Pour chaque facteur premier p. , le temoin 6lbve chaque alea r, k la 
puissance v feme modulo p. 

R, = r/ mod p. 

(de sorte que le nombre d 9 operations arithmetiques modulo p I a effectuer 
pour calculer chacun des R t pour chacun des p g est reduit par rapport a ce 
qu'il serait si les operations etaient effectuees modulo n) 
Puis, le temoin etablit chaque engagement R modulo n selon la m^thode 
des restes chinois. 

II y a autant d'engagements R que de collections d'aleas {r l5 r 2 , r 3 , ...}. 

• etape 2. defi d destine au temoin : 

Le signataire applique une fonction de hachage f ayant comme arguments le 
message m et chaque engagement R pour obtenir au moins une collection 
de defis d {dA, dB, ...} tels que 0 < dA < v - 1. Le nombre des collections 
de defis d est egal au nombre d' engagements R, chaque collection {dA, dB, 
•..} comprend un nombre de defis egal au nombre de paires de cles. 
Le signataire transmet les collections de defis d au temoin. 

• etape 3. reponse du temoin au defi d : 

Le temoin calcule des reponses D a partir desdites . collections de defis d 
{dA, dB, ...} refues du contrSleur. A cet effet, 
il effectue des operations du type : 

D. = r. . QAj . QB i " . ... mod p. 
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(de sorte que le nombre d'operations arithmetiques modulo p t a effectuer 
pour calculer chacun des D t pour chacun des p I est reduit par rapport a ce 
qu'il serait si les operations etaient effectuees modulo n ) 
puis, il applique la m6thode des restes chinois. 

II y a autant de reponses D calculees par le temoin que d' engagements R et 
de d6fis d. 

Le temoin transmet les reponses D au signataire et/ou au controleur. 

• etape 4. donnees destinees au controleur : 

Le signataire transmet un message signe au controleur comprenant : 

- le message m, 

- les collections de defis d ou les engagements R, 

- chaque reponse D 

• etape 5. verification par le controleur : 
Cas oii le controleur re^oit la collection des defis d, 

Dans le cas oh le contrSleur re^oit la collection des defis d et des reponses 
D, ledit contrdleur calcule a partir de chaque reponse D un engagement R' 
en effectuant des operations du type : 

R'sGA d \GB d \...D v modn 

ou du type ; 

R*. GA dA . GB dB . D v mod n 

Le controleur applique la fonction de hachage f ayant comme arguments le 
message m et chaque engagement reconstruit R' pour reconstruire chaque 
defi d'. 

Le controleur verifie que chaque defi d' reconstruit est identique au defi d 
figurant dans le message signe. 

Cas ou le controleur re^oit la collection des engagements R 

Dans le cas ou le contrdleur re9oit la collection des engagements R et des 
reponses D, ledit contrdleur applique la fonction de hachage f ayant comme 
arguments le message m et chaque engagement R pour reconstruire chaque 



defi d\ 

Le controleur reconstruit alors la collection des engagements R' en 
effectuant des operation du type 

R' = GA d A . GB d B . ... D v mod n 

ou du type : 

R' . GA d '\ GB dB . D v mod n 

Le controleur verifie que chaque engagement R' reconstruit est identique a 
T engagement R figurant dans le message sign6. 

Paire de cles selon la presente invention conferant une securite 
equivalente a la connaissance de la cle privee Q 

La paire de cles GA, QA, ... n'a plus de raison d'etre systematiquement 
deduite de l'identite du temoin, comme dans le cas du precede GQ. 
Selon une variante de realisation, un grand nombre de temoins utilisent le 
meme ensemble de cles publiques tres courtes GA, GB, GC, GD ... par 
exemple, 4, 9, 25 et 49. 

Dans le cas de la variante de realisation ci-apres exposee les composantes 
QA„ QA 2 , ... (QA. , ...), et QB„ QB 2 , ... (QB. , ...), ... des cles privees QA, 
QB, ... sont des nombres tires au hasard a raison d'une composante QA. , 
QB. , ... pour chacun desdits facteurs premiers p.. Lesdites cles privees QA, 
QB, peuvent etre calculees a partir desdites composantes QA„ QA 2 , ... 
(QA., ...), et QB,, QB 2 , ... (QB., ...), ... par la methode des restes chinois. 
Les cles publiques GA, GB, ... sont calculees en effectuant des operations 
du type : 

GA. = QA. V mod p. 
puis en appliquant la methode des restes chinois pour etablir GA tel que 

GA = QA mod n 

ou bien tel que 

GA.QA V mod n = 1 

Ainsi, le nombre d'operations arithmetiques modulo p, a effectuer pour 



calculer chacun des GA. pour chacun des p, est reduit par rapport a ce qu'il 
serait si les operations 6taient effectuees modulo n. 

De preference Fexposant public de verification v est un nombre premier. 
Dans ce cas la paire de cles GA, QA confere une securite equivalente a la 
connaissance de la cle privee QA. 

Paire de cles selon la presente invention conferant une securite 
equivalente a la connaissance de la factorisation de n 
De preference, Fexposant public de verification v est du type 

v = a k 

ou k est un parametre de securite plus grand que 1. 
De preference, egalement l'exposant public de verification v est du type 

v = 2 k 

ou k est un parametre de securite plus grand que 1 . 

Dans ce cas, la cle publique GA est un carre gA 2 inferieur a n choisi de 
sorte que les deux equations 

x 2 = gA mod n et x 2 = - gA mod n 
n'ont pas de solution en x dans Tanneau des entiers modulo n. 
Les composantes QA,, QA 2 , (QA. , ...) de la cle privee QA sont alors 
telles que : 

GA= QA^modp, 

ou bien telles que : 

GA.QA^modp^l 

On les obtient en extrayant la k ieme racine carree de GA dans le corps de 
Galois CG(p.), 

Ainsi, le nombre d* operations arithmetiques modulo Pj a effectuer pour 
calculer chacun des QA. pour chacun des p, est reduit par rapport k ce qu'il 
serait si les operations etaient effectuees modulo n. 

On demontre que la paire de cles GA, QA confere une securite equivalente 
a la connaissance de la factorisation de n. 
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De preference, pour extraire la k ieme racine carree de GA dans le corps de 
Galois CG(p.), on utilise les methodes suivantes : 

- dans le cas ou le facteur premier p. est congru h 3 modulo 4, on 
applique notamment un algorithme du type : 

x = (p+l)/4 ; y = x k mod (p-1) ;z = y;QA.s GA* mod p. 

- dans le cas ou le facteur premier p ; est congru & 1 modulo 4, on 
emploie les suites de Lucas. 

Systeme 

La presente invention concerne egalement un systeme permettant de mettre 
en ceuvre le procede ci-dessus expose. 

Le systeme selon 1'invention permet de diminuer la charge de travail 
pendant une session destinee a prouver a un serveur controleur, 

- P authenticity d'une entite et/ou 

- l'origine et l'integrite d'un message m. 
Le systeme met en oeuvre trois entites : 

I. Une premiere entite, appelee dispositif temoin, contenue notamment 
dans un objet nomade se presente par exemple sous la forme d'une carte 

bancaire a microprocesseur. 

Le dispositif temoin dispose d'une premiere zone memoire contenant des 
facteurs premiers p l9 p 2 , ... (p. , ...) (i etant superieur ou egal a 2) d'un 
module public n tel que n = p,.p 2 . p 3 

Le dispositif temoin dispose aussi d'une deuxieme zone memoire contenant 

* des composantes QA„ QA 2 , ... (QA., ...), et QB t , QB 2 , ... (QB., ...), 
representant des cles privees QA, QB, ... 

* des cles publiques GA, GB, ... ay ant respectivement pour 
composantes GA,, GA 2 , ... (GA., ...) et GB,, GB 2 , ... (GB., ...) 

* des exposants publics de verification vx, vy, ... 

lesdites cles privees et cles publiques etant liees par des relations du type : 
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GA.QA" mod n = 1 ou GA = QA vx mod n 

Le dispositif temoin comporte aussi des premiers moyens de calcul pour 
calculer des engagements R en effectuant des operations du type : 

R. = r. v * mod p. 
ou r. est un alea tel que 0 < r. < p. , 

II. Le systeme met en oeuvre une deuxieme entite, appelee dispositif pilote 
dudit dispositif temoin. Elle peut etre contenue notamment dans ledit objet 
nomade. Le dispositif pilote est plus precisement appele : 

* dispositif demonstrates dans le cas de la preuve de 1' authenticity 
d'une entite ou de F authenticity d'un message, 

* dispositif de signature dans les cas de la preuve de l'origine et de 
F integrite d'un message, 

III. Le systeme met en oeuvre une troisieme entite, appelee dispositif 
controleur, se presentant notamment sous la forme d'un terminal et/ou d'un 
serveur distant connecte a un reseau de communication informatique. Le 
dispositif controleur comporte des moyens de connexion pour le connecter 
electriquement, electromagnetiquement, optiquement ou de maniere 
acoustique au dispositif temoin. Le dispositif controleur verifie 
T authentication ou l'origine et l'integrite d'un message. 

Le dispositif temoin re9oit du dispositif pilote ou du dispositif controleur un 
ou plusieurs defis d tel que 0 < d < vx - 1. II comporte des deuxiemes 
moyens de calcul pour calculer a partir des defis d une ou plusieurs 
reponses D en effectuant des operations du type : 

D ; s r s . QA. d mod Pi 
ou r. est un alea tel que 0 < r. < p t 

(de sorte que le nombre d'operations arithmetiques modulo p. a effectuer 
par lesdits deuxiemes moyens de calcul pour calculer chacune des reponses 
D. pour chacun des p. est reduit par rapport a ce qu'il serait si les 
operations etaient effectuees modulo n) 



Le dispositif controleur, re9oit une ou plusieurs reponses D. II comporte des 
troisiemes moyens de calcul pour calculer a partir desdites reponses D des 
engagements R' en effectuant des operations du type : 

R'.sGA'.D™ modn 

ou du type : 

RVGA d =D v "modn 
Le dispositif controleur comporte des quatriemes moyens de calcul pour 
verifier que les triplets {R% d, D} sont coherents. 

Cas ou Fexposant de verification v est unique 
De meme que prec6demment, le systeme selon F invention met en ceuvre 
trois entit6s. 

I. Une premiere entite, appelee dispositif temoin, contenue notamment dans 
un objet nomade se presentant par exemple sous la forme d'une carte 
bancaire a microprocesseur. 

Le dispositif temoin dispose d'une premiere zone m6moire contenant des 
facteurs premiers p„ p 2 , ... (p. , ...) (i etant superieur ou egal k 2) d'un 
module public n tel que n = p,.p 2 . p 3 . ... , 

Le dispositif temoin dispose aussi d'une deuxieme zone memoire contenant 

* des composantes QA,, QA 2 , ... (QA., ...), et QB l5 QB 2 , ... (QB ( , ...), 

representant des cles privees QA, QB, ... 

* des cles publiques GA, GB, ... ayant respectivement pour 
composantes GA,, GA 2 , ... (GA. , ...) et GB,, GB 2 , ... (GB., ...), 

* un exposant public de verification v. 

Les paires de cles privees et publiques sont liees par des relations du type : 

GA.QA V mod n = 1 ou GA = QA V mod n 
Le dispositif temoin comporte aussi des premiers moyens de calcul pour 
calculer des engagements R. A cet effet, 
• il effectue des operations du type : 



R = r. v mod p. 

ou r. est un entier, tire au hasard, associe au nombre premier p., tel que 0 < 
r. < p. , appartenant a au moins une collection d'aleas {r |5 r 2 , r 3 , ...}, 
• puis, il applique la methode des restes chinois. 

II y a autant d'engagements R que de collections d'aleas {r„ r 2 , r 3 , ...}, 
Le nombre d' operations arithmetiques modulo p, a effectuer par lesdits 
premiers moyens de calcul pour calculer chacun des R 1 pour chacun des p, 
est reduit par rapport a ce qu'il serait si les operations etaient effectuees 
modulo n. 

II. La deuxieme entite, appelee dispositif pilote dudit dispositif temoin, 
peut etre contenue notamment dans ledit objet nomade. Le dispositif pilote 
est appele : 

* dispositif demonstrates dans le cas de la preuve de T authenticity 
d'une entite ou de Tauthenticite d'un message, 

* dispositif de signature dans les cas de la preuve de Forigine et de 
Fintegrite d'un message, 

III. La troisieme entite, appelee dispositif controleur, se presente 
notamment sous la forme d'un terminal et/oux^'u/i serveur distant connecte 
a un reseau de communication informatique. Le dispositif controleur 
comporte des moyens de connexion pour le connecter electriquement, 
electromagnetiquement, optiquement ou de maniere acoustique audit 
dispositif temoin. Le dispositif controleur verifie l'authentification ou 
Forigine et Fintegrite d'un message, 

Plus particulierement, dans le cas de cette variante de realisation, le 
dispositif temoin re?oit du dispositif pilote ou du dispositif controleur, des 
collections de defis d {dA, dB, ...} tels que 0 < dA < v - 1. Le nombre des 
collections de defis d est egal au nombre d'engagements R. Chaque 
collection {dA, dB, ...} comprend un nombre de defis egal au nombre de 
paires de cles. 



Le dispositif temoin cornporte des deuxiemes moyens de calcul pour 
calculer k partir de chacune desdites collections de defis {dA, dB, ...} des 
reponses D. A cet effet, 

• il effectue des operations du type : 

D, = r, . Q A, . QBj ** . ... mod p. 

• puis, il applique la methode des restes chinois. 

II y a autant de reponses D que d'engagements R et de defis d. 
II convient de souligner, ici aussi, que le nombre d'op6rations arithmStiques 
modulo p. a effectuer par lesdits deuxiemes moyens de calcul pour calculer 
chacun des D. pour chacun des p. est r6duit par rapport a ce qu'il serait si 
les operations etaient effectu6es modulo n. 

Le dispositif controleur re$oit une ou plusieurs reponses D. II comporte des 
troisiemes moyens de calcul pour calculer k partir desdites reponses D un 
engagement R' en effectuant des operations du type : 

R' = GA dA . GB dB . ...D v mod n 

ou du type : 

R' . GA *\ GB dB . ...= D v mod n 

Le dispositif controleur comporte des quatriemes moyens de calcul pour 
verifier que les triplets {R% d, D} sont coherents. 

On va maintenant exposer les variantes de realisation du systeme selon 
T invention concernant : 

- le cas d'une authentification d'entite, 

- le cas d'une authentification de message, 

- le cas d'une signature numerique de message. 

Cas d'une authentification d'entite 
Cas ou Pexposant de verification v est unique. 
Dans le cas de cette variante de realisation particulidre, la session est 
destinee k prouver a un contrdleur T authenticity d'une entit6. 
Comme dans le cas general, le session met en ceuvre trois entit6s du 



sy steme selon T invention. 

I. Une premiere entite, appelee dispositif temoin, contenue notamment dans 
un objet nomade se pr6sentant par exemple sous la forme d'une carte 
bancaire k microprocesseur. 

Le dispositif temoin dispose d'une premiere zone memoire contenant des 
facteurs premiers p |5 p 2 , ... (p ( , ...) (i etant superieur ou egal a 2) d'un 

module public n tel que n = p,.p 2 . p 3 Le dispositif temoin dispose aussi 

d'une deuxifeme zone memoire contenant : 

* des composantes QA S , QA 2 , ... (QA., ...), et QB,, QB 2 , ... (QB, , ...), 
representant des cles privees QA, QB, 

* des cles publiques GA, GB, ... ayant respectivement pour 
composantes GA t , GA 2 , ... (GA., ...) et GB P GB 2 , ... (GB j? ...) 

* un exposant public de verification v. 

Les paires de cles privees et publiques sont liees par des relations du type : 
GA.QA V mod n = lou GA = QA v mod n 

II. La deuxieme entite, appelee dispositif demonstrateur dudit dispositif 
temoin, peut etre contenue notamment dans ledit objet nomade. 

III. Une troisieme entite, appelee dispositif controleur, se presente squc 'a 
forme d'un terminal et/ou d'un serveur distant connecte a un reseau de 
communication informatique. Le dispositif controleur comporte des moyens 
de connexion pour le connecter electriquement, electromagnetiquement, 
optiquement ou de maniere acoustique audit dispositif temoin, 

Pour prouver 1'authenticite d'une entite, ledit dispositif temoin, ledit 
dispositif demonstrateur et ledit dispositif controleur executent les etapes 
suivantes : 

* etape 1. engagement R du dispositif temoin : 

Le dispositif temoin comporte des premiers moyens de calcul pour tirer au 
hasard et en prive, a chaque appel, au moins une collection de nombres 
entiers {r,, r 2 , r 3 , ...}, telle que, pour chaque facteur premier p ( , chaque 
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collection comporte un alea r ( positif et plus petit que p. . 
Le dispositif temoin comporte des deuxiemes moyens de calcul pour elever 
chaque alea r. a la puissance v ieme modulo p ( , pour chaque facteur 
premier Pj , 

Rj = r. v mod p, 

On notera que le nombre d* operations arithmetiques modulo p, h effectuer 
par les deuxiemes moyens de calcul pour calculer chacun des R, pour 
chacun des p t est reduit par rapport k ce qu'il serai t si les operations 6taient 
effectuees modulo n. 

Puis, lesdits deuxiemes moyens de calcul du dispositif t6moin 6tablissent 
chaque engagement R modulo n selon la methode des restes chinois. 
II y a autant d'engagements R que de collections d'aleas {r,, r 2 , r 3 , ...}, 

• etape 2. defi d destine au dispositif temoin : 

Le dispositif demonstrates comporte des moyens de transmission pour 
transmettre tout ou partie de chaque engagement R au dispositif controleur. 
Le dispositif controleur comporte des troisiemes moyens de calcul pour 
calculer, apres avoir refu tout ou partie de chaque engagement R, au moins 
une collection de defis d (dA ? dB, ...} tels que 0 < dA < v - 1. Le nombre 
des collections de defis d est egal au nombre d' engagements R. Chaque 
collection {dA, dB, ...} comprend un nombre de defis egal au nombre de 
paires de cl6s. 

• etape 3. reponse du dispositif temoin au defi d : 

Le dispositif temoin comporte des quatriemes moyens de calcul pour 
calculer des reponses D, a partir desdites collections de defis d {dA, dB, ...} 
revues du dispositif controleur. A cet effet, 
il effectue des operations du type : 

D. se r, . QA, " • QB, " . ... mod p, 
puis, il applique la methode des restes chinois. 

Le nombre d' operations arithmetiques modulo p, a effectuer par les 
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quatrifemes moyens de calcul pour calculer chacun des D 1 pour chacun des 
p 1 est reduit par rapport a ce qu'il serait si les operations 6taient effectuees 
modulo n. 

II y a autant de reponses D calculees par le temoin que d' engagements R et 
de defis d. 

• etape 4. donnees destinees au dispositif controleur : 

Le d&nonstrateur comporte des moyens de transmission pour transmettre 
au dispositif contrSleur chaque r6ponse D. 

• etape 5. verification par le dispositif controleur : 

Le dispositif contrSleur comporte des cinquifemes moyens de calcul pour 
calculer a partir de chaque r^ponse D un engagement R* en effectuant des 
operations du type : 

R'= GA dA .GB dB .-..D v modn 

ou du type : 

R' . GA GB dB . D v mod n 

Le dispositif controleur comporte des sixiemes moyens de calcul pour 
comparer et verifier que chaque engagement reconstruit R' reproduit tout 
ou partie de chaque engagement R transmis a 1' etape 2 par le dispositif 
demonstrateur. 

Cas d'une authentification de message 
Cas ou Texposant de verification v est unique. 

Dans le cas de cette variante de realisation particuliere, la session est 
destinee a prouver a un controleur Tauthenticite d'un message m. 
Comme dans le cas general, la session met en oeuvre trois entites du 
systeme. 

I. Une premiere entite, appelee dispositif temoin, contenue notamment dans 
un objet nomade se presente par exemple sous la forme d'une carte 
bancaire a microprocesseur. 

Le dispositif temoin dispose d'une premiere zone memoire contenant des 



facteurs premiers p,, p 2 , ... (p, , ...) (i etant superieur ou egal a 2) d'un 
module public n tel que n = p,.p 2 . p 3 . ... ,.Le dispositif temoin dispose aussi 
d'une deuxieme zone memoire contenant 

* des composantes QA„ QA 2 , ... (QA i5 ...), et QB„ QB 2 , ... (QB, , ...), 
repr^sentant des cl6s privees QA, QB, ... 

* des c!6s publiques GA, GB, ... ayant respectivement pour 
composantes GA,, GA 2 , ... (GA, , ...) et GB„ GB 2 , ... (GB,, ...) 

* un exposant public de verification v. 

Les paires de cl6s privees et publiques sont liees par des relations du type : 
GA.QA* mod n = 1 ou GA = QAmod n 

II. Une deuxi&me entity, appel6e dispositif demonstrateur dudit dispositif 
t6moin, peut etre contenue notamment dans ledit objet nomade. 

III. Une troisieme entite, appel6e dispositif contrdleur, se presente sous la 
forme d'un terminal et/ou d*un serveur distant connecte k un reseau de 
communication informatique. Le dispositif controleur comporte des moyens 
de connexion pour le connecter electriquement, electromagnetiquement, 
optiquement ou de maniere acoustique audit dispositif temoin. 

Pour prouver Pauthenticite d'un message ledit dispositif temoin, ledit 
dispositif demonstrateur et ledit dispositif controleur executent les 6tapes 
suivantes : 

• etape 1. engagement R du dispositif temoin : 

Le dispositif temoin comporte des premiers moyens de calcul pour tirer au 
hasard et en prive, a chaque appel, au moins une collection de nombres 
entiers {r,, r 2 , r 3 , ...}, telle que pour chaque facteur premier p,, chaque 
collection comporte un alea r. positif et plus petit que p. . 
Le dispositif temoin comporte des deuxiernes moyens de^ calcul pour 61ever 
chaque alea r. a la puissance v ieme modulo p, , pour chaque facteur 
premier p s , 



Le nombre d' operations arithmetiques modulo p, a effectuer par les 
deuxiemes moyens de calcul pour calculer chacun des R, pour chacun des 
p, est reduit par rapport a ce qu'il serait si les operations etaient effectuees 
modulo n. 

Puis, lesdits deuxi&mes moyens de calcul dudit dispositif t&noin 6tablissent 
chaque engagement R modulo n selon la methode des restes chinois. 
II y a autant d'engagements R que de collections d'al6as {r,, r 2 , r 3 , •..}. 

• etape 2. defi d destine au dispositif temoin : 

Le dispositif demonstrateur comporte des premiers moyens de calcul pour 
calculer un jeton T, en appliquant une fonction de hachage f ayant comme 
arguments le message m et chaque engagement R. 

Le dispositif demonstrateur comporte des moyens de transmission pour 
transmettre le jeton T au dispositif contrSleur. 

Le dispositif contrdleur comporte des troisiemes moyens de calcul pour 
calculer, apres avoir re$u le jeton T, au moins une collection de defis d 
{dA, dB, ...} tels que 0 < dA < v - 1. Le nombre des collections de defis d 
est egal au nombre d' engagements R. Chaque collection {dA, dB, •..} 
comprend un nombre de defis egal au nombre de paires de cles. 

• etape 3* reponse du dispositif temoin au defi d : 

Le dispositif temoin comporte des quatriemes moyens de calcul pour 
calculer des reponses D, a partir desdites collections de defis d {dA, dB, ...} 
re9ues du dispositif controleur. A cet effet, 
il effectue des operations du type : 

D. = r. • QA. dA . QB. " . ... mod p. 
puis, il appliquant la methode des restes chinois. 

Le nombre d'operations arithmetiques modulo p, a effectuer par les 
quatriemes moyens de calcul pour calculer chacun des D, pour chacun des 
p, est reduit par rapport a ce qu'il serait si les operations etaient effectuees 
modulo n. 



II y a autant de reponses D calculees par le temoin que d' engagements R et 
de defis d. 

• etape 4. donnees destinees au dispositif contrdleur : 

Le demonstrateur comporte des moyens de transmission pour transmettre 
au dispositif controleur chaque reponse D. 

• etape 5* verification par le dispositif contrdleur : 

Le dispositif controleur comporte des cinquifemes moyens de calcul pour 
calculer a partir de chaque reponse D un engagement R' en effectuant des 
operations du type : 

R'=GA dA . GB dB . ...D v modn 

ou du type : 

R' . GA " . GB dB . ...= D v mod n 

Le dispositif controleur comporte des sixiemes moyens de calcul pour 
calculer, en appliquant la fonction de hachage f ayant comme arguments le 
message m et chaque engagement R% le jeton T\ 

Le dispositif controleur comporte des septiemes moyens de calcul pour 
comparer et verifier que le jeton T' est identique au jeton T transmis a 
I'etape 2 par le dispositif demonstrateur. 

Cas d'une signature numerique de message 
Cas ou I'exposant de verification v est unique. 
Dans le cas de cette variante de realisation particulidre, la session est 
destinee a prouver a un controleur la signature numerique d'un message m. 
Comme dans le cas general, la session met en oeuvre trois entites du 
systeme : 

I. Une premiere entite, appelee dispositif temoin, contenues notamment 
dans un objet nomade se presente par exemple sous la forme d'une carte 
bancaire a microprocesseur. 

Le dispositif temoin comporte une premiere zone memoire contenant des 
facteurs premiers p p p 2 , ... (p. , ...) (i etant superieur ou egal a 2) d'un 
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module public n tel que n = p,.p 2 . p 3 

Le dispositif temoin comporte egalement une deuxieme zone memoire 
contenant : 

* des composantes QA„ QA 2 , ... (QA., ...), et QB„ QB 2 , ... (QB f , ...), 
representant des cles privees QA, QB, ... 

* des cles publiques GA, GB, ... ay ant respectivement pour 
composantes GA t , GA 2 , ... (GA., ...) et GB l5 GB 2 , ... (GB., ...) 

* un exposant publique de verification v. 

Les paires de cles privees et publiques sont liees par des relations du type : 
GA.QA V mod n = louGA = QA v mod n 

II. Une deuxieme entite, pouvant etre contenue notamment dans ledit objet 
nornade, est appelee dispositif de signature. 

III. Une troisieme entite, appelee dispositif controleur se presente sous la 
forme d'un terminal et/ou d'un serveur distant connecte a un reseau de 
communication informatique. Le dispositif controleur comporte des moyens 
de connexion pour le connecter electriquement, electromagnetiquement, 
optiquement ou de maniere acoustique au dispositif temoin. 

Pour prouver la signature d'un message, ledit dispositif temoin, ledit 
dispositif demonstrateur et ledit dispositif controleur executent les etapes 
suivantes : 

• etape 1. engagement R du temoin : 
Le dispositif temoin comporte des premiers moyens de calcul pour tirer au 
hasard et en prive, a chaque appel, au moins une collection de nombres 
entiers {r,, r 2 , r 3 , ...}, telle que pour chaque facteur premier p., chaque 
collection comporte un alea r. positif et plus petit que p. . 
Le dispositif temoin comporte des deuxiemes moyens de calcul pour elever 
chaque alea r. a la puissance v ieme modulo p. , pour chaque facteur 
premier p. , 

R = r v mod p. 



Ainsi, le nombre d' operations arithmetiques modulo Pj a effectuer par les 
deuxiemes moyens de calcul pour calculer chacun des R, pour chacun des 
p, est reduit par rapport a ce qu'il serait si les operations etaient effectuees 
modulo n. 

Puis, lesdits deuxiemes moyens de calcul du dispositif t6moin 6tablissent 
chaque engagement R modulo n selon la m6thode des restes chinois. 
II y a autant d'engagements R que de collections d'aleas {r„ r 2 , r 3 , ...}, 

• etape 2. defi d destine au dispositif temoin : 

Le dispositif de signature comporte des troisiemes moyens de calcul pour 
calculer, en appliquant une fonction de hachage f ayant comme arguments 
le message m et chaque engagement R, au moins une collection de d6fis d 
{dA, dB, ...} tels que 0 < dA < v - 1. Le nombre des collections de defis d 
est egal au nombre d'engagements R. Chaque collection {dA, dB, ..•} 
comprend un nombre de defis egal au nombre de paires de cles. 
Le dispositif de signature transmet les collections de defis d au dispositif 
temoin, 

• etape 3. reponse du dispositif temoin au defi d : 

Le dispositif temoin comporte des quatriemes moyens de calcul pour 
calculer des reponses D, a partir desdites collections de defis d {dA, dB, ...} 
regues du dispositif controleur. A cet effet, 
il effectue des operations du type : 

D. = r. . QA S dA . QB. 153 . ... mod p i 
puis, il applique la methode des restes chinois. 

Le nombre d' operations arithmetiques modulo p, k effectuer par les 
quatriemes moyens de calcul pour calculer chacun des D t pour chacun des 
Pj est reduit par rapport a ce qu'il serait si les operations etaient effectu6es 
modulo n. 

II y a autant de reponses D calcul^es par le temoin que d'engagements R et 
de defis d. 
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Le dispositif temoin comporte des moyens de transmission pour transmettre 
les reponses D au dispositif de signature et/ou au dispositif contrSleur. 

• etape 4. donnees destinees au dispositif controleur : 

Le dispositif de signature transmet au dispositif controleur un message 
signe comprenant : 

- le message m, 

- les collections de defis d ou les engagements R, 

- chaque reponse D 

• etape 5. verification par le dispositif controleur : 
Cas oii le dispositif controleur re^oit la collection des defis d, 

Dans le cas ou le dispositif controleur re?oit les collections des defis d et 
des reponses D, ledit dispositif contrdleur comporte des cinquiemes moyens 
de calcul pour calculer a partir de chaque reponse D un engagement R' en 
effectuant des operations du type : 

R'=GA d \GB dB ....D v modn 

ou du type : 

R'. GA dA . GB dB . ...= D V mod n 

Le dispositif controleur comporte des sixiemes moyens de calcul pour 
calculer chaque defi d\ en appliquant la fonction de hachage f ay ant 
comme arguments le message m et chaque engagement reconstruit R'. 
Le dispositif controleur comporte des septiemes moyens de calcul pour 
comparer et verifier que chaque defi d' est identique au defi d figurant dans 
le message signe. 

Cas ou le dispositif controleur re?oit la collection des engagements R 

Dans le cas oil le dispositif controleur re?oit la collection des engagements 
R et des reponses D, ledit dispositif controleur comporte des cinquiemes 
moyens de calcul pour calculer chaque defi d\ en appliquant la fonction de 
hachage f ayant comme arguments le message m et chaque engagement R. 
Le dispositif controleur comporte des sixiemes moyens de calcul pour 



calculer alors la collection des engagements R' en effectuant des operation 
du type 

R' = GA d ' A . GB d ' B . ... D v mod n 

ou du type : 

R' . GA d A . GB d B . ... = D v mod n 

Le dispositif contrSleur comporte des septiemes moyens de calcul pour 
comparer et verifier que chaque engagement R' reconstruit est identique a 
l'engagement R figurant dans-le message signe. 

Paire de cles conferant une securite equivalente a la connaissance de la 

cle privee Q 

Dans le cas de la variante de realisation ci-apres exposee les composantes 
QA,, QA 2 , ... (QA., ...), et QB„ QB 2 , ... (QB., ...), ... des cles privees QA, 
QB, ... sont des nombres tires au hasard a raison d'une composante QA. , 
QB. , ... pour chacun desdits facteurs premiers p., lesdites cles privees QA, 
QB, pouvant etre calculees a partir desdites composantes QA„ QA 2 , ... 
(QA., ...), et QB,, QB 2 , ... (QB., ...), ... par la methode des restes chinois. 
Dans le cas de cette variante, le dispositif temoin comporte des huitiemes 
moyens de calcul pour calculer lesdites cles publiques GA, GB, 

• en effectuant des operations du type : 

GA. = QA/modp. 

• puis en appliquant la methode des restes chinois pour etablir GA tel que 

GA = QA V mod n 

ou bien tel que 

GA.QA V mod n = 1 

Le nombre d'operations arithmetiques modulo p, a effectuer par les 
huitiemes moyens de calcul dudit dispositif temoin pour calculer chacun 
des GA. pour chacun des p, est reduit par rapport par rapport a ce qu'il 
serait si les operations etaient effectuees modulo n. 

De preference dans ce cas, Texposant public de verification v est un 
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nombre premier. II en resulte que la paire de cles GA, QA confere une 

securite equivalente a la connaissance de la cle privee QA. 

Paire de cles conferant une securite equivalente a la connaissance de la 

factorisation de n 
De preference, Texposant public de verification v est du type 

v = a k 

ou k est un parametre de securite plus grand que 1 . 
De preference egalement, l'exposant public de verification v est du type 

v = 2 k 

ou k est un parametre de securite plus grand que 1, 

Dans ce cas, la cle publique GA est un carre gA 2 inferieur a n choisi de 
sorte que les deux equations 

x 2 = gA mod n et x 2 = - gA mod n 
n'ont pas de solution en x dans Tanneau des entiers modulo n. 
Le dispositif temoin comporte des neuviemes moyens de calcul pour 
calculer les dites composantes QA,, QA 2 , ... (QA. , ...) de la c\6 privee QA 
en appliquant des formules telles que : 

GA= QA. 2exp(k) mod Pj 

ou bien telles que : 

GA .QA. 2exp(k) mod Pi = 1 
et en extrayant la k ieme racine carree de GA dans le corps de Galois 
CG( Pi ). 

Ainsi, le nombre d' operations arithmetiques modulo p, a effectuer par les 
neuviemes moyens de calcul du dispositif temoin pour calculer chacun des 
QA. pour chacun des Pl est reduit par rapport a ce qu'il serait si les 
operations etaient effectuees modulo n. 

On dernontre que la paire de cles GA, QA confere une securite equivalente 
a la connaissance de la factorisation de n. 

De preference, pour extraire la k ieme racine carree de GA dans le corps de 



Galois CG(p.), on utilise les methodes suivantes : 

- dans le cas ou le facteur premier p. est congru a 3 modulo 4, les 
neuviemes moyens de calcul du dispositif temoin appliquent notamment un 
algorithme du type : 

x = (p+l)/4 ; y = x k mod (p-1) ; z = y ; QA. = GA 2 mod p. 

- dans le cas ou le facteur premier p t est congru k 1 modulo 4, les 
neuvifcmes moyens de calcul du dispositif t&noin appliquent notamment un 
algorithme base sur les suites de Lucas. 

Objet nomade. Carte bancaire 
La presente invention concerne egalement un objet nomade permettant de 
mettre en ceuvre le proc6de ci-dessus expose. 

L'objet nomade selon l'invention se presente, par exemple, sous la forme 
d'une carte bancaire a microprocesseur. II permet de diminuer la charge de 
travail pendant une session destinee a prouver a un serveur controleur, 

- T authenticity d'une entite et/ou 

- l'origine et l'integrite d'un message m, 
L' objet nomade fait intervenir trois entites : 

I. Une premiere entite, appelee dispositif temoin, est contenue dans ledit 
objet nomade. Le dispositif temoin dispose d'une premiere zone memoire 
contenant des facteurs premiers p„ p 2 , ... (p., ...) (i etant superieur ou egal a 

2) d'un module public n tel que n = p,.p 2 . p 3 Le dispositif temoin 

dispose aussi d'une deuxieme zone memoire contenant : 

* des composantes QA,, QA 2 , ... (QA., ...), et QB„ QB 2 , ... (QB., ...), 
representant des cles privees QA, QB, ... 

* des cles publiques GA, GB, ... ayant respectivement pour 
composantes GA,, GA 2 , ... (GA S , ...) et GB„ GB 2 , ... (GB ( , ...) 

* des exposants publics de verification vx, vy, ... 

Les cl6s privees et les cles publiques sont liees par des relations du type : 
GA.QA" mod n = 1 ou GA = QA vx mod n 
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Le dispositif t6moin comporte aussi des premiers moyens de calcul pour 
calculer des engagements R en effectuant des operations du type : 

R s r" mod p. 
ou r, est un alea tel que 0 < r, < p, . 

Ainsi, le nombre d'operations arithmetiques modulo p, a effectuer par 
lesdits premiers moyens de calcul pour calculer chacun des R, pour chacun 
des p, est reduit par rapport a ce qu'il serait si les operations etaient 
effectuees modulo n. 

II. Une deuxieme entite est appelee dispositif pilote dudit dispositif temoin. 
Elle peut etre 6galement contenue dans ledit objet nomade. Le dispositif 
pilote est appete : 

. * dispositif d6monstrateur dans le cas de la preuve de l'authenticit6 
d'une entite ou de rauthenticiuS d'un message, 

* dispositif de signature dans les cas de la preuve de 1'origine et de 
1'integrite d'un message, 

III. Une troisieme entite, appelee dispositif contrdleur, se pr6sente 
notamment sous la forme d'un terminal et/ou d'un serveur distant connecte 
a un reseau de communication informatique. Le dispositif contrdleur verifie 
l'authentification ou 1'origine et 1'integrite d'un message, 

L' objet nomade comporte des moyens de connexion pour connecter 
61ectriquement, electromagnetiquement, optiquement ou de maniere 
acoustique ledit dispositif temoin et/ou ledit dispositif pilote audit dispositif 
contrdleur. 

Le dispositif temoin recoit du dispositif pilote ou du dispositif contrdleur un 
ou plusieurs defis d tel que 0 < d ^ vx - 1 et comporte des deuxiemes 
moyens de calcul pour calculer a partir dudit defi d une ou plusieurs 
reponses D en effectuant des operations du type : 

D, s r, . QA, d mod p. 
ou r, est un alea tel que 0 < r. < p, 



Ainsi, le nombre d' operations arithmetiques modulo p. a effectuer par 
lesdits deuxi&mes moyens de calcul pour calculer chacune des reponses Dj 
pour chacun des p. est reduit par rapport a ce qu'il serait si les operations 
etaient effectuees modulo n. 

L'objet nomade comporte des moyens de transmission pour transmettre 
audit dispositif contrdleur la ou les dites reponses D. 

Cas ou Pexposant de verification v est unique 
De meme que pr6c6demment, l'objet nomade fait intervenir trois entit6s : 
I. Une premiere entit6, appel6e dispositif t6moin, est contenue dans ledit 
objet nomade. Le dispositif t6moin dispose d'une premiere zone m6moire 
contenant des facteurs premiers p,, p 2 , ... (p. , ...) (i etant superieur ou 6gal 

a 2) d'un module public n tel que n = p r p 2 . p 3 Le dispositif t6moin 

dispose aussi d'une deuxi&me zone m6moire contenant 

* des composantes QA„ QA 2 , ... (QA., ...), et QB t , QB 2 , ... (QB., ...), 
representant des cles privees QA, QB, ... 

* des cl6s publiques GA, GB, ... ayant respectivement pour 
composantes GA,, GA 2 , ... (GA, ...) et GB„ GB 2 , ... (GB,, ...) 

* un exposant public de verification v. 

Les paires de cles privees et publiques sont liees par des relations du type : 

GA.QA* mod n = lou GA = QA V mod n 
Le dispositif temoin comporte aussi des premiers moyens de calcul pour 
calculer des engagements R, 

• en effectuant des operations du type : 

R = r, v mod p, 

oii r. est un entier, tire au hasard, associe au nombre premier p., tel que 0 < 
r. < p. , appartenant k au moins une collection d'al6as r 2 , r 3 , ...}, 

• puis en appliquant la methode des restes chinois, 

II y a autant d'engagements R que de collections d'ateas {r l5 r 2 , r 3 , ...}, 
Ainsi, le nombre d'operations arithmetiques modulo Pj a effectuer par 
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lesdits premiers moyens de calcul pour calculer chacun des R. pour chacun 
des p. est reduit par rapport a ce qu'il serait si les op6rations 6taient 
effectives modulo n. 

II. Une deuxieme entite est appelee dispositif pilote dudit dispositif t6moin. 
Elle peut Stre egalement contenue dans ledit objet nomade. Le dispositif 
pilote est appele : 

* dispositif demonstrates dans le cas de la preuve de F authenticity 
d'une entite ou de F authenticity d'un message, 

* dispositif de signature dans les cas de la preuve de Forigine et de 
F int6grit6 d'un message. 

III. Une troisieme entite, appelee dispositif controleur, se presente 
notamment sous la forme d'un terminal et/ou d'un serveur distant connecte 
a un reseau de communication informatique. Le dispositif contrSleur verifie 
Fauthentification ou Forigine et Fintegrite d'un message. 

L' objet nomade comporte des moyens de connexion pour connecter 
electriquement, electromagn6tiquement, optiquement ou de maniere 
acoustique ledit dispositif temoin et/ou ledit dispositif pilote audit dispositif 
controleur. y - , 

Le dispositif temoin re?oit du dispositit pilote ou du dispositif controleur, 
des collections de defis d {dA, dB, ...} tels que 0 < dA < v - 1. Le nombre 
des collections de defis d etant egal au nombre d' engagements R. Chaque 
collection {dA, dB, ...} comprend un nombre de defis egal au nombre de 
paires de cles. 

Le dispositif temoin comporte des deuxiemes moyens de calcul pour 
calculer a partir de chacune desdites collections de defis {dA, dB, ...} des 
reponses D. A cet effet, 

• il effectue des operations du type : 

D. = r. . QA. ^ . QB. ^ . ... mod p. 

• puis, il appliquant lamethode des restes chinois. 



II y a autant de reponses D que d' engagements R et de defis d. 
Ainsi, le nombre d' operations arithrn&iques modulo p f a effectuer par 
lesdits deuxiemes moyens de calcul pour calculer chacun des D. pour 
chacun des p. est r6duit par rapport k ce qu'il serait si les operations etaient 
effectu6es modulo n. 

L'objet nomade comporte des moyens de transmission pour transmettre 
audit dispositif controleur la ou lesdites reponses D. 

On va maintenant exposer des variantes de realisation de l'objet nomade 
selon T invention concernant : 

- le cas d'une authentication d'entit6, 

- le cas d'une authentification de message, 

- le cas d'une signature numerique de message. 

Cas d'une authentification d' entite 
Cas ou 1'exposant de verification v est unique. 
Dans le cas de cette variante de realisation particuliere, la session est 
destinee a prouver a un dispositif controleur 1' authenticity d'une entite. 
Comme dans le cas general, la session fait intervenir trois entites. 
I. Une premiere entite, appelee dispositif temoin, est contenue dans ledit 
objet nomade. Le dispositif temoin comporte une premiere zone memoire 
contenant des facteurs premiers p„ p 2 , ... (p. , ...) (i etant superieur ou egal 
a 2) d'un module public n tel que n = p t .p 2 . p 3 . ... . Le dispositif temoin 
comporte aussi une deuxieme zone memoire contenant : 

* des composantes QA,, QA 2 , ... (QA., ...), et QB„ QB 2 , ... (QB |9 
representant des cles privees QA, QB, ... 

* des cles publiques GA, GB, ... ay ant respectivement pour 
composantes GA l9 GA 2 , ... (GA., ...) et GB^ GB 2 , ... (GB^, ...) 

* un exposant public de verification v. 

Les paires de cles privees et publiques sont liees par des relations du type : 
GA.QA V mod n = 1 ou GA = QA ¥ mod n 
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II. Une deuxieme entite est appelee dispositif demonstrate^- du dispositif 
temoin. Elle peut 6tre 6galement contenue dans ledit objet nomade. 

III. Une troisieme entite, appel6e dispositif contrdleur, se presente 
notamment sous la forme d'un terminal et/ou d'un serveur distant connecte 
a un reseau de communication informatique. 

L'objet nomade comporte des moyens de connexion pour connecter 
electriquement, electromagnetiquement, optiquement ou de maniere 
acoustique ledit dispositif temoin et/ou ledit dispositif d6monstrateur audit 
dispositif controleur. 

Pour prouver l'authenticite" d'une entite, ledit objet nomade execute les 
Stapes suivantes : 

• etape 1. engagement R du dispositif temoin : 
Le dispositif t6moin comporte des premiers moyens de calcul pour tirer au 
hasard et en. prive, a chaque appel, au moins une collection de nombres 
entiers {r„ r 2 , r 3 , ...}, telle que, pour chaque facteur premier p„ chaque 
collection comporte un alea r.positif et plus petit que p. . 
Le dispositif temoin comporte des deuxiemes moyens de calcul pour elever 
chaque alea r, a la puissance v ieme modulo Pi , pour chaque facteur 
premier p. , 

Rj = r. v mod p, 

Ainsi, le nombre d' operations arithm^tiques modulo p. a effectuer par les 
deuxiemes moyens de calcul pour calculer chacun des R. pour chacun des p, 
est reduit par rapport a ce qu'il serait si les operations etaient effectuees 
modulo n) 

Puis, lesdits deuxiemes moyens de calcul du dispositif temoin 6tablissent 
chaque engagement R modulo n selon la methode des restes chinois. 
II y a autant d'engagements R que de collections d'aleas {r„ r 2 , r 3 , ...}. 

• etape 2. transmission des engagements R et reception des defls d 
destines au dispositif temoin : 
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L'objet nomade comporte des moyens de transmission pour transmettre au 
dispositif controleur tout ou partie de chaque engagement R. L'objet 
nomade comporte des moyens de reception pour recevoir des collections de 
defis d {dA, dB, ...} produits par ledit dispositif controleur. 

• etape 3. reponse du dispositif temoin aux defis d : 

Le dispositif temoin comporte des troisiemes moyens de calcul pour 
calculer des reponses D, k partir desdites collections de defis d {dA, dB, ...} 
regues du dispositif controleur. A cet effet, 
il effectue des operations du type : 

D ; = r . QA, dA • QB, ** . •.. mod p ( 
puis, il applique la m&hode des restes chinois. 

Ainsi, le nombre d' operations arithmetiques modulo p, a effectuer par les 
troisiemes moyens de calcul pour calculer chacun des D. pour chacun des p. 
est reduit par rapport a ce qu'il serait si les operations etaient effectuees 
modulo n. 

II y a autant de reponses D calculees par le temoin que d'engagements R et 
de defis d. 

• etape 4. donnees destinees au dispositif controleur : 

L'objet nomade comporte des moyens de transmission pour transmettre au 
dispositif controleur tout ou partie de chaque reponse D. 

• etape 5. verification par le dispositif controleur : 

Le dispositif contr61eur verifie la coherence des triplets {R, d, D} et 
l'authenticite de Tentite controlee. 

Cas d'une authentification de message 
Cas ou l'exposant de verification v est unique. 
Dans le cas de cette variante de realisation particuliere, la session est 
destinee a prouver a un controleur T authenticity d'un message m. 
Comme dans le cas general, Tobjet nomade fait intervenir trois entites : 
I. Une premiere entite, appelee dispositif temoin, est contenue dans ledit 
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objet nomade,. 

Le dispositif temoin comporte une premiere zone memoire contenant des 
facteurs premiers p„ p 2 , ... (p. , ...) (i £tant superieur ou egal a 2) d'un 

module public n tel que n = p r p 2 . p 3 Le dispositif temoin comporte 

aussi une deuxieme zone memoire contenant 

* des composantes QA„ QA 2 , ... (QA, , ...), et QB„ QB 2 , ... (QB, , ...), 
representant des cles privees QA, QB, ... 

* des cles publiques GA, GB, ... ayant respectivement pour 
composantes GA,, GA 2 , ... (GA., ...) et GB„ GB 2 , ... (GB., ...) 

* un exposant public de verification v. 

Les paires de cles privees et publiques sont lides par des relations du type : 
GA.QA" mod n = 1 ou GA s QA v mod n 

II. Une deuxieme entite, est appelee demonstrateur dudit dispositif t6moin. 
Elle peut etre egalement contenue dans ledit objet nomade. 

III. Une troisieme entite" appelee dispositif controleur se presente sous la 
forme d'un terminal et/ou d'un serveur distant connecte a un reseau de 
communication informatique. 

L' objet nomade comporte des moyens de connexion pour connecter 
electriquement, electromagnetiquement, optiquement ou de maniere 
acoustique ledit dispositif temoin et/ou ledit dispositif d6monstrateur audit 
dispositif controleur. 

Pour prouver 1' authenticite d'un message ledit objet nomade execute les 
Stapes suivantes : 

• etape 1. engagement R du dispositif temoin : 
Le dispositif temoin comporte des premiers moyens de calcul pour tirer au 
hasard et en prive, a chaque appel, au moins une collection de nombres 
entiers {r,, r 2 , r 3 , ...}, telle que, pour chaque facteur premier p,, chaque 
collection comporte un alea r.positif et plus petit que p. . 
Le dispositif temoin comporte des deuxiemes moyens de calcul pour elever 
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chaque alea r. a la puissance v ieme modulo p. , pour chaque facteur 
premier p, , 

R = r. v mod p ( 

Ainsi; le nombre d' operations arithm&iques modulo p, a effectuer par les 
deuxiemes moyens de calcul pour calculer chacun des R, pour chacun des p, 
est reduit par rapport a ce qu'il serait si les operations etaient effectu6es 
modulo n. 

Puis, lesdits deuxiemes moyens de calcul dudit dispositif temoin etablissent 
chaque engagement R modulo n selon la mSthode des restes chinois. 
II y a autant d'engagements R que de collections d'ateas {r,, r 2 , r 3 , ...}. 

• etape 2. reception des defis d destines au dispositif temoin: 

Le dispositif demonstrates comporte des premiers moyens de calcul pour 
calculer un jeton T, en appliquant une fonction de hachage f ayant comme 
arguments le message m et chaque engagement R. L'objet nomade 
comporte des moyens de transmission pour transmettre audit dispositif 
controleur le jeton T. L'objet nomade comporte des moyens de reception 
pour recevoir des collections de defis d {dA, dB, ...} produits par ledit 
dispositif controleur au moyen du jeton T. 

• etape 3. reponse du dispositif temoin au defi d : 

Le dispositif temoin comporte des troisiemes moyens de calcul pour 
calculer des reponses D, a partir desdites collections de defis d {dA, dB, ...} 
re9ues du dispositif contrdleur. A cet effet, 
il effectuant des operations du type : 

D t = r . QA. . QB. " . ... mod Pi 
puis, il applique la methode des restes chinois. 

Ainsi, le nombre d' operations arithmetiques modulo p. k effectuer par les 
quatriemes moyens de calcul pour calculer chacun des D, pour chacun des 
p. est reduit par rapport k ce qu'il serait si les operations etaient effectu^es 
modulo n — 
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II y a autant de reponses D calculees par le temoin que d' engagements R et 
de defis d. 

• etape 4. donnees destinees au dispositif controleur : 

L'objet nomade comporte des moyens de transmission pour transmettre 
audit dispositif controleur chaque reponse D. 

• etape 5. verification par le dispositif controleur : 

Le dispositif controleur verifie la coherence des triplets {R, d, D) et 
Tauthenticite du message m. 

Cas d'une signature numerique de message 
Cas ou 1'exposant de verification v est unique. 
Dans le cas de cette variante de realisation particuliere, la session est 
destinee a prouver a un contrSleur la signature numerique d'un message m. 
Comme dans le cas general, l'objet nomade fait intervenir trois entites : 

I. Une premiere entite, appelee dispositif temoin, est contenue dans ledit 
objet nomade. Le dispositif temoin comporte une premiere zone memoire 
contenant des facteurs premiers p,, p 2 , ... (p. , ...) (i etant superieur ou egal 

a 2) d'un module public n tel que n = P,-P 2 » P 3 dispositif temoin 

comporte aussi une deuxieme zone memoire contenant : 

* des composantes QA,, QA 2 , ... (QA. , ...), et QB P QB 2 , ... (QB. , ...), 
representant des cles privees QA, QB, ... 

* des cles publiques GA, GB, ... ay ant respectivement pour 
composantes GA,, GA 2 , ... (GA., ...) et GB t , GB 2 , ... (GB., ...) 

* un exposant public de verification v. 
Les paires de cles privees et publiques sont liees par des relations du type : 
GA.QA V mod n = 1 ou GA = QA V mod n 

II. Une deuxieme entite est appelee dispositif de signature. Elle peut etre 
egalement contenue dans ledit objet nomade. 

III. Une troisieme entite appelee dispositif controleur se presente sous la 
forme d'un terminal et/ou d'un serveur distant connecte a un reseau de 



communication informatique. 

L'objet nomade comporte des moyens de connexion pour connecter 
electriquement, electromagnetiquement, optiquement ou de maniere 
acoustique ledit dispositif temoin et ledit dispositif de signature audit 
dispositif controleur. 

Pour prouver la signature d'un message ledit objet nomade execute les 
etapes suivantes : 

• etape 1. engagement R du dispositif temoin : 

Le dispositif temoin comporte des premiers moyens de calcul pour tirer au 
hasard et en prive, a chaque appel, au moins une collection de nombres 
entiers {r„ r 2 , r 3 , ...}, telle que, pour chaque facteur premier p p chaque 
collection comporte un alea r. positif et plus petit que p. . 
Le dispositif temoin comporte des deuxiemes moyens de calcul pour elever 
chaque alea r. a la puissance v ieme modulo p. , pour chaque facteur 
premier p. , 

R = Tj* mod p. 

Puis, lesdits deuxiemes moyens de calcul dudit dispositif temoin etablissent 
chaque engagement R modulo n selon la methode des restes chinois. 
Ainsi, le nombre d' operations arithmetiques modulo p. a effectuer par les 
deuxiemes moyens de calcul pour calculer chacun des R. pour chacun des p. 
est reduit par rapport a ce qu'il serait si les operations etaient effectuees 
modulo n. 

II y a autant d'engagements R que de collections d'aleas {r„ r 2 , r 3 , ...}. 

• etape 2. defi d destine au dispositif temoin : 

Le dispositif de signature comporte des troisiemes moyens de calcul pour 
calculer, en appliquant une fonction de hachage f ayant comme arguments 
le message m et chaque engagement R, au moins une collection de defis d 
{dA, dB, ...} tels que 0 < dA < v - 1. Le nombre des collections de defis d 
etant egal au nombre d'engagements R. Chaque collection {dA, dB, 
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comprend un nombre de defis egal au nombre de paires de cles. 

Le dispositif de signature transmet les collections de defis d au dispositif 

temoin. 

• etape 3. reponse du dispositif temoin au defi d : 

Le dispositif temoin comporte des quatriemes moyens de calcul pour 
calculer des reponses D, a partir desdites collections de defis d {dA, dB, ...} 
revues du dispositif contrSleur. A cet effet, 
il effectue des operations du type : 

D. = i\ . QA." . QB. dB . ... mod p t 
puis, il appliquant la m£thode des restes chinois. 

Ainsi, le nombre d' operations arithmetiques modulo p i a effectuer par les 
quatriemes moyens de calcul pour calculer chacun des D. pour chacun des 
p. est reduit par rapport a ce qu'il serait si les operations etaient effectuees 
modulo n. 

II y a autant de reponses D calculees par le temoin que d' engagements R et 
de defis d. 

L'objet nomade comporte des moyens de transmission pour transmettre les 
reponses D au dispositif de signature et/ou au dispositif controleur. 

• etape 4. donnees destinees au dispositif controleur : 

L'objet nomade comporte des moyens de transmission pour transmettre au 
dispositif controleur un message signe comprenant : 

- le message m, 

- les collections de defis d ou les engagements R, 

- chaque reponse D 

• etape 5. verification par le dispositif controleur : 

Le dispositif controleur verifie la coherence des triplets {R, d, D} et la 
signature numerique du message m. 

Paire de cles conferant une securite equivalente a la connaissance de la 

cle privee Q 



La paire de cles GA, QA,... n'a plus de raison d'etre syst6matiquement 
deduite de l'identite du temoin, comme dans le cas du procede GQ. 
Dans le cas de la variante ci-apres exposee les composantes QA„ QA 2 , ... 
(QA , ...), et QB„ QB 2 , ... (QB., ...), ... des cles privees QA, QB, ... sont 
des nombres tir6s au hasard a raison d'une composante QA, , QB, , ... pour 
chacun desdits facteurs premiers p,, lesdites cles privees QA, QB, pouvant 
etre calcul6es h partir desdites composantes QA,, QA 2 , ... (QA,, ...), et QB„ 
QB 2 , ... (QB,, ...), par la m6thode des restes chinois. 

Le dispositif temoin comporte des huitiemes moyens de calcul pour calculer 
lesdites cles publiques GA, GB, 

• en effectuant des operations du type : 

GA, = QA/ mod p. 

• puis en appliquant la methode des restes chinois pour etablir GA tel que 

GA = QA v mod n 

ou bien tel que 

GA.QA* mod n = 1 

Ainsi, le nombre d' operations arithmetiques modulo p, a effectuer par les 
huitiemes moyens de calcul dudit dispositif temoin pour calculer chacun 
des GA, pour chacun des p. est reduit par rapport a ce qu'il serait si les 
operations etaient effectuees modulo n. 

De preference, l'exposant public de verification v est un nombre premier. II 
en resulte que la paire de cles GA, QA confere une securite equivalente a la 
connaissance de la cl6 privee QA. 

Paire de cles conferant une securite equivalente a la connaissance de la 

factorisation de n 

De preference, l'exposant public de verification v est du type 

v = a k 

ou k est un parametre de securite plus grand que 1. 

De preference egalement, l'exposant public de verification v est du type 



v = 2 k 

ou k est un parametre de securite plus grand que 1. 

Dans ce cas, la cl6 publique GA est un carre gA* inferieur h n choisi de 
sorte que les deux equations 

x 2 = gA mod n et x 2 = - gAmod n 
n'ont pas de solution en x dans Tanneau des entiers modulo n. 
Le dispositif temoin comportant des neuvifemes moyens de calcul pour 
calculer lesdites composantes QA,, QA 2 , ... (QA. , ...) de la cle privee QA 
en appliquant des formules telles que : 

GA= QA.^modp. 

ou bien telles que : 

GA.QA^^modppl 

et en extrayant la k ieme racine carree de GA dans le corps de Galois 
CG( Pi ). 

Ainsi, le nombre d* operations arithmetiques modulo p. h effectuer par les 
neuviemes moyens de calcul du dispositif temoin pour calculer chacun des 
QA. pour chacun des p. est reduit par rapport a ce qu'il serait si les 
operations etaient effectuees modulo n. 

On demontre que la paire de cles GA, QA confere une securite equivalente 
a la connaissance de la factorisation de n. 

De preference, pour extraire la k ieme racine carree de GA dans le corps de 
Galois CG( Pi ), on utilise les methodes suivantes : 

* dans le cas ou le facteur premier p. est congru a 3 modulo 4, les 
neuviemes moyens de calcul du dispositif temoin appliquent notamment un 
algorithme du type : 

x = (p+l)/4 ; y = x k mod (p-1) ; z = y ; QA t = GA r mod p. 

* dans le cas ou le facteur premier Pi est congru a 1 modulo 4, les 
neuviemes moyens de calcul du dispositif temoin appliquent notamment un 
algorithme base sur les suites de Lucas. 




Terminal ou Serveur distant 
Concept general GQ2 

La presente invention conceme egalement un dispositif de controle, se 
presentant sous la forme d'un terminal ou d'un serveur distant connect^ a 
un reseau de communication informatique. 

Le terminal ou le serveur selon T invention permet de mettre en oeuvre le 
proc6d6 ci-dessus expose et de diminuer la charge de travail pendant une 
session destinee a verifier : 

- F authenticity d'une entite et/ou 

- 1'origine et Tint^grite d'un message m. 
Le dispositif de controle met en oeuvre : 

- un module public n tel que n soit le produit de facteurs premiers 
secrets p,, p 2 , ... (p., ...) (i etant superieur ou egal a 2) 

n = PrPr P 3 

- des cles publiques GA, GB, ... 

- des exposants publics de verification vx, vy, 

lesdites cles privees GA et les cles publiques associ6es QA etant liees par 
des relations du type : 

GA.QA" mod n = 1 ou G A = QA vx mod n 
Le dispositif de controle fait intervenir trois entites. 

I. Une premiere entite, appelee dispositif temoin, contenue notamment dans 
un objet nomade se presentant par exemple sous la forme d'une carte 
bancaire a microprocesseur. Le dispositif temoin produit des engagements 
R et des reponses D a des defis d. 

II. Une deuxieme entite est appelee dispositif pilote dudit dispositif temoin. 
Elle peut etre contenue notamment dans ledit objet nomade. 

III. Une troisieme entite, appelee dispositif contrdleur, est contenue dans 
ledit dispositif de controle. 

Le dispositif de controle comporte : 
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- des moyens de connexion pour connecter electriquement, 
61ectromagn6tiquement, optiquement ou de maniere acoustique ledit 
dispositif contrSleur audit dispositif temoin et/ou audit dispositif pilote, 

- des moyens de transmission pour transmettre les donnees produites 
par ledit dispositif controleur vers ledit dispositif temoin et/ou ledit 
dispositif pilote, 

- des moyens de reception pour recevoir les donn6es provenant dudit 
dispositif temoin et/ou dudit-dispositif pilote. 

Le dispositif contr61eur comporte : 

- des premiers moyens de calcul pour produire un ou plusieurs defis d 
tel que 0 < d < vx - 1, 

- des deuxiemes moyens de calcul pour calculer, en fonction des 
reponses D recues dudit dispositif temoin et/ou dudit dispositif pilote, des 
engagements R' en effectuant des operations du type : 

R'.sGA'.D" mod n 

ou du type : 

R',.GA d =D vx modn 

- des troisiemes moyens de calcul pour verifier que les triplets {R% d, 
D} sont coherents. 

Cas ou l'exposant de verification v est unique 
De m6me que precedemment, ledit dispositif de controle se pr6sente sous la 
forme d'un terminal ou d'un serveur distant connect^ a un reseau de 
communication informatique. II met en ceuvre : 

- un module public n tel que n soit le produit de facteurs premiers 
secrets p„ p 2 , ... (p, , ...) (i etant superieur ou 6gal a 2) 

n = Pi-P 2 - P 3 - •« , 

- des cles publiques GA, GB, ... 

- un exposant public de verification v 

Les cles privees GA et les cl6s publiques associees QA sont liees par des 
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relations du type : 

GA.QA" mod n = 1 ou GA s QA* mod n 

ledit dispositif de controle fait intervenir trois entit6s : 

I. Une premiere entit6, appelee dispositif temoin, est contenue notamment 
dans un objet nomade se prdsentant par exemple sous la forme d'une carte 
bancaire a microprocesseur. Le dispositif t6moin produit des engagements 
R et des reponses D a des defis d. 

II. Une deuxieme entit6 est appelee dispositif pilote dudit dispositif temoin 
Elle peut etre contenue notamment dans ledit objet nomade. 

III. Une troisieme entite, appelee dispositif contrdleur, est contenue dans 
ledit dispositif de contrSle. 

Le dispositif de contrdle comporte : 

- des moyens de connexion pour connecter electriquement, 
electromagn6tiquement, optiquement ou de maniere acoustique ledit 
dispositif contr61eur audit dispositif temoin et/ou audit dispositif pilote, 

- des moyens de transmission pour transmettre les donn6es produites 
par ledit dispositif contrSleur vers ledit dispositif temoin et/ou ledit 
dispositif pilote, 

- des moyens de reception pour recevoir les donnees provenant dudit 
dispositif temoin et/ou dudit dispositif pilote, 

Le dispositif contr61eur comporte : 

- des premiers moyens de calcul pour produire un ou plusieurs d6fis d 
{dA, dB, ...} tels que 0 < dA £ v - 1, 

- des deuxiemes moyens de calcul pour calculer, en fonction des 
reponses D recues du dudit dispositif temoin et/ou dudit dispositif pilote, 
des engagements R' en effectuant des operations du type : 

R , = GA dA .GB" B ....D ¥ modn 

ou du type : 

R* • GA dA . GB dB . ...= D* mod n 
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- des troisiemes moyens de calcul pour verifier que les triplets {R% d, 
D} sont coherents. 

Cas d'une authentification d'entite* 
Cas ou I'exposant de verification v est unique. 

Dans le cas de cette variante de r6alisation, la session est destinee a verifier 
l'authenticit6 d'une entite\ Dans le cas d'une authentification d'entite, le 
dispositif pilote est appele" dispositif demonstrates. 

Pour prouver l'authenticit6 d'une entite ledit dispositif de contr61e execute 
les 6tapes suivantes : 

• etape 1. engagement R du dispositif temoin : 

Le dispositif temoin produit au moins un engagement R a partir d'au moins 
une collection d'aleas {r„ r 2 , r 3 , ...}, telle que, pour chaque facteur premier 
p., chaque collection comporte un alea r. entier positif et plus petit que p, . 
II y a autant d'engagements R que de collections d'aleas. 

• etape 2. defis produits par le dispositif controleur et destines au 
dispositif temoin : 

Les moyens de reception du dispositif de controle recoivent tout ou partie 
de chaque engagement R, transmis par le dispositif demonstrates, et le 
transmettent au dispositif controleur. 

Le dispositif contrdleur comporte des premiers moyens de calcul pour 
calculer, apres avoir regu tout ou partie de chaque engagement R, au moins 
une collection de defis d {dA, dB, ...} tels que 0 < dA < v - 1. Le nombre 
des collections de defis d est egal au nombre d'engagements R. Chaque 
collection {dA, dB, ...} comprend un nombre de defis 6gal au nombre de 
paires de cles. 

• etape 3. reponse du dispositif temoin aux defis d : 

Le dispositif temoin comporte des quatriemes moyens de calcul pour 
calculer des reponses D, a partir desdites collections de deTis d {dA, dB, ...} 
re ? ues du dispositif controleur. II y a autant de reponses D que 
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d' engagements R et de defis d. 

• etape 4, donnees destinees au dispositif contrdleur : 

Les moyens de reception du dispositif de controle re?oivent du dispositif 
d6monstrateur chaque reponse D. 

• etape 5. verification par le dispositif contrdleur : 

Le dispositif contrdleur comporte des deuxiemes moyens de calcul pour 
calculer h partir de chaque reponse D un engagement IT en effectuant des 
operations du type : 

R'= GA dA . GB -B . ...D v mod n 

ou du type : 

R\ GA d \ GB dB . ...s= D v mod n 

Le dispositif contrdleur comporte des troisiemes moyens de calcul pour 
comparer et verifier que chaque engagement reconstruit R> reproduit tout 
ou partie de chaque engagement R transmis a 1' etape 2 par le dispositif 
demonstrates. 

Cas d'une authentification de message 
Cas ou l'exposant de verification v est unique. 

Dans le cas de cette variante de realisation particuliere, la session est 
destinee a verifier 1' authenticity d'un message m. Dans le cas d'une 
authentification d'un message m, le dispositif pilote est appele dispositif 
demonstrates. 

Pour prouver l'authenticite d'un message m, ledit dispositif de contr61e 
execute les etapes suivantes : 

• etape 1. engagement R du dispositif temoin : 

Le dispositif temoin produit au moins un engagement R a partir d'au moins 
une collection d'aleas {r x , r 2 , r 3 , ...}, telle que, pour chaque facteur premier 
p., chaque collection comporte un alea r. entier positif et plus petit que p. . 
II y a autant d'engagements R que de collections d'aleas. 

• etape 2. defis d produits par ledit dispositif contrdleur et 
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destines au dispositif temoin : 

Les moyens de reception du dispositif de contrdle recoivent un jeton T 
calcule et transmis par le dispositif demonstrateur en appliquant une 
fonction de hachage f ayant comme arguments le message m et chaque 
engagement R. 

Le dispositif contr61eur comporte des premiers moyens de calcul pour 
calculer, apres avoir recu le jeton T, au moins une collection de defis d 
{dA, dB, ...} tels que 0 < dA <S v - 1. Le nombre des collections de d6fis d 
est egal au nombre d'engagements R. Chaque collection {dA, dB, ...} 
comprend un nombre de defis egal au nombre de paires de cles. 

• etape 3. reponse du dispositif temoin au defi d : 

Le dispositif temoin comporte des quatriemes moyens de calcul pour 
calculer des reponses D, a partir desdites collection de defis d {dA, dB, ...} 
recues du dispositif controleur. II y a autant de reponses D calculees parTe 
temoin que d'engagements R et de defis d. 

• etape 4. donnees destinees au dispositif controleur : 

Les moyens de reception du dispositif de contrdle recoivent du dispositif 
demonstrateur chaque reponse D. 

• etape 5. verification par le dispositif controleur : 

Le dispositif controleur comporte des deuxiemes moyens de calcul pour 
calculer a partir de chaque reponse D un engagement R' en effectuant des 
operations du type : 

R'=GA dA .GB dB ....D v modn 

ou du type : 

R'.GA dA .GB iB ....^D v modn 

Le dispositif contrdleur comporte des troisiemes moyens de calcul pour 
calculer un jeton T', en appliquant la fonction de hachage f ayant comme 
arguments le message m et chaque engagement R'. 

Le dispositif contr61eur comporte des quatriemes moyens de calcul pour 



comparer et verifier que le jeton T est identique au jeton T transmis a 
F etape 2 par le dispositif demonstrates. 

Cas d'une signature numerique de message 
Cas ou Pexposant de verification v est unique 
Dans le cas de cette variante de realisation particulifcre, la session est 
destin6e k verifier la signature numerique d'un message m. Dans le cas 
d'une authentification d'un message m, le dispositif pilote est appeld 
dispositif de signature. 

Pour prouver la signature numerique du message m, ledit dispositif de 
controle execute les etapes suivantes : 

• etape 1. engagement R du temoin : 

Le dispositif temoin produit au moins un engagement R a partir d'au moins 
une collection d'aleas {r,, r 2 , r 3 , ...}, telle que, pour chaque facteur premier 
p., chaque collection comporte un alea r. entier positif et plus petit que p. . 
II y a autant d' engagements R que de collections d'aleas. 

• etape 2. defis d destines au dispositif temoin : 

Le dispositif de signature calcule, en appliquant une fonction de hachage f 
ayant comme arguments le message m et chaque engagement R, au moins 
une collection de defis d {dA, dB, ...} tels que 0 < dA < v - 1. Le nombre 
des collections de defis d est egal au nombre d' engagements R. Chaque 
collection {dA, dB, ...} comprend un nombre de defis egal au nombre de 
paires de cles. 

Le dispositif de signature transmet les collections de defis d au dispositif 
temoin. 

• etape 3. reponse du dispositif temoin au defi d : 

Le dispositif temoin comporte des quatriemes moyens de calcul pour 
calculer des reponses D, a partir desdites collections de defis d {dA, dB, 
...}. II y a autant de reponses D calculees par le temoin que d' engagements 
R et de defis d. 



Le dispositif temoin comporte des moyens de transmission pour transmettre 
les reponses D au dispositif de signature et/ou au dispositif contrdleur. 

* etape 4. donnees destinees au dispositif contrdleur : 

Les moyens de reception du dispositif de contrdle recoivent du dispositif de 
signature un message signd comprenant : 

- le message m, 

- les collections de defis d ou les engagements R, 

- chaque reponse D. 

* etape 5. verification par le dispositif contrdleur : 

Cas ou le dispositif contrdleur recoit la collection des delis d 

Dans ce cas, le dispositif contrdleur recoit les collections des d6fis d et des 
reponses D. 

Le dispositif contrdleur comporte : 

* des premiers moyens de calcul pour calculer a partir de chaque 
reponse D un engagement R' en effectuant des operations du type : 

R'=GA dA .GB dB ....D v modn 

ou du type : 

R'.GA dA .GB dB ....= D v modn 

* des deuxiemes moyens de calcul pour calculer chaque defi d', en 
appliquant la fonction de hachage f ayant comme arguments le message m 
et chaque engagement reconstruit R', 

* des troisiemes moyens de calcul pour comparer et verifier que 
chaque defi d' est identique au defi d figurant dans le message signe. 

Cas oil le dispositif contrdleur recoit la collection des engagements R 
Dans ce cas, le dispositif contrdleur recoit la collection des engagements R 
et des reponses D, 
Le dispositif contrdleur comporte : 

* des premiers moyens de calcul pour calculer chaque defi d% en 
appliquant la fonction de hachage f ayant comme arguments le message m 



et chaque engagement R, 

* des deuxiemes moyens de calcul pour calculer, alors, la collection 
des engagements R' en effectuant des operation du type 

R' = GA d \ GB d ' B . ... D ¥ mod n 

ou du type : 

R\ GA d A . GB dB . ...= D v mod n 

* des troisiemes moyens de calcul pour comparer et verifier que 
chaque engagement R' reconstruit est identique a l'engagement R figurant 
dans le message signe. 

Paire de cles conferant une securite equivalente a la connaissance de la 

cle privee Q 

La paire des cles GA, QA, ... n'a plus raison d'etre systematiquement 
deduite de Tidentite du temoin, comme dans le cas du proc6d6 GQ. 
Dans le cas de la variante de realisation ci-apres exposee les composantes 
QA„ QA 2 , ... (QA. , ...), et QB„ QB 2 , ... (QB, , ...), des cles priv6es QA, 
QB, ... sont des nombres tires au hasard a raison d'une composante QA. , 
QB. , ... pour chacun desdits facteurs premiers p., lesdites cles privees QA, 
QB, pouvant etre calculees a partir desdites composantes QA,, QA 2 , 
(QA, ...), et QB„ QB 2 , ... (QB., ...), ... par la methode des restes chinois, 
Le dispositif temoin comporte des moyens de calcul pour calculer les cles 
publiques GA, GB, 

• en effectuant des operations du type : 

GA 4 = QAj V mod p. 

• puis, en appliquant la methode des restes chinois pour etablir GA tel que 

GA = QA V mod n 

ou bien tel que 

GA.QA* mod n s 1 

Le nombre d* operations arithmetiques modulo p, k effectuer par les 
huitiemes moyens de calcul dudit dispositif temoin pour calculer chacun 



des GA, pour chacun des p, est r6duit par rapport a ce qu'il serait si les 
operations etaient effectuees modulo n. 

De preference, I'exposant public de verification v est un nombre premier. 
On peut demontrer que la paire de cles GA, QA confere une security 
equivalente a la connaissance de la cle privee QA. 

Paire de cles conferant une securite equivalente a la connaissance de la 

factorisation de n 

De preference, I'exposant public de verification v est du type 

v = a k 

ou k est un parametre de securite plus grand que 1. 
De preference egalement, I'exposant public de verification v est du type 

v = 2 k 

oil k est un parametre de securite plus grand que 1, 

Dans ce cas cle publique GA est un carre gA 2 inferieur a n choisi de sorte 
que les deux equations 

x 2 = gA mod n et x 2 s - gA mod n 
n'ont pas de solution en x dans l'anneau des entiers modulo n. 
Le dispositif temoin comporte des neuviemes moyens de calcul pour 

calculer les dues composantes QA„ QA 2 , ... (QA ) de la cle privee QA 

en appliquant des formules telles que : 

GA= QA.^modp, 

ou bien telles que : 

GA .QA 2 " p(h) mod Pi =l 
et en extrayant la k ieme racine carree de GA dans le corps de Galois 
CG( Pi ). 

Ainsi, le nombre d' operations arithmetiques modulo p, a effectuer par les 
neuviemes moyens de calcul du dispositif t6moin pour calculer chacun des 
QA. pour chacun des p. est reduit par rapport a ce qu'il serait si les 
operations etaient effectuees modulo n. 



On peut demontrer que la paire. de cles GA, QA confere une securite 
equivalente a la connaissance de la factorisation de n. 

De preference, pour extraire la k ieme racine carree de GA dans le corps de 
Galois CG(p ( ), 

* dans le cas ou le facteur premier p i est congru a 3 modulo 4, les 
neuvifemes moyens de calcul du dispositif temoin appliquent notamment un 
algorithme du type : 

x = (p+l)/4 ; y s x k mod (p-1) ; z = y ; QA. = GA r mod p. 

* dans le cas oil le facteur premier p. est congru a 1 modulo 4, les 
neuvi&mes moyens de calcul du dispositif temoin appliquent notamment un 
algorithme base sur les suites de Lucas. 

On va maintenant decrire de maniere detaillee la presente invention en 
presentant dans une premiere partie les elements mathematiques utilises, 
puis, en developpant dans une deuxieme partie le proced6 selon T invention 
appel6 nouveau procede. 

Premiere partie : elements mathematiques 
1. Congruences 

Dans ce paragraphe, x, y et z sont des entiers naturels. z n'est pas nul. 

La notation « x = y (mod z) » se lit « x est congru a y (mod z) » ; elle est 

equivalente a « z divise x—y ». 

1.1. Proprietes de base des congruences 

Les quatre lois suivantes sont utiles. 

(Loi A) 

{ a = b (mod m); x= y (mod m) } 
=> { a±x = b±y (mod m); a.x = b.y (mod m) } 

(Loi B) 

{a.x = b.y (modm); a = b (modm); pgcd(a,m) = l } 
=> { x s y (mod m) } 



(Loi C) 

{ a = b (mod m) } <=> { a.n = b.n (mod m.n) } 

(Loi D) 

{a = b (modr.s); pgcd(r,s) = l } <=> { a = b (mod r); a = b (mod s) } 

1.2. Theoreme de Fermat 

Lorsque p est un nombre premier, a p =a (mod /?). 
Demonstration. 

La relation est triviale lorsque a est un multiple de p. 

Definissons la suite {X} pour un nombre entier a quelconque appartenant k 
{1,2,3, .../>-l}. 

=a. Puis, pour i > 1, x M = a-hx ( (mod p)} 
Calculons le terme pour Tindice i+p : 

x i+p = x i + P a = x i (mod p) 
Par consequent, la suite {X} est periodique et sa periode est p. 
Les p— 1 premiers termes sont distincts et non nuls ; on y retrouve une fois 
et une seule fois chacun des entiers de 1 h p-l ; les p-1 premiers termes 
forment done une permutation des entiers de 1 a p-l. 
Calculons le produit des p-l premiers termes de la suite {X}. 
Selon la loi A, a.2a.3a. ... (p-l)a = 1.2.3.. ..(/?- 1) (mod p) 

Selon la loi B, a h s1 (mod p) 

Selon la loi A, a p =a (mod p) 

1.3. Theoreme d'Euler 

La fonction d'Euler est notee par cp(n). C'est le nombre d'entiers positifs 

inferieurs a n et premiers avec n. 

=> Lorsque a et n sont premiers entre eux, 

a^ n) = 1 (mod n). 
=> Lorsque n est un nombre premier /?, 

<P(P) =/>-!. 

=> Lorsque n est le produit de deux nombres premiers distincts p x et p 2 . 
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cp(*) = (p-l).(p 2 -l). 
=s> Lorsque la factorisation de n est p*. p 2 y . p 3 \ 

cp(/i)/n = (l-l/ Pl ) . (l-l/p 2 ) . (l-l/p 3 ) . ... 
1.4. Rang des elements dans le corps de Galois CG(p) 
Soit un nombre premier impair p. Soit un nombre entier positif a inferieur k 
p. Definissons la suite {X}. 

{x}={x l =a. Puis, pour i > 1, = a.x x (mod p)} 
Calculons le terme pour Tindice /+p et utilisons le theoreme de Fermat. 

x i+p =a p jCi= a.x x = x M (mod p) 
Par consequent, la periode de la suite {X} est egale & p-l ou a un diviseur 
dep-1. Cette periode depend de la valeur de a. Par definition, cette periode 
est appeie^ « le rang de a (mod p) ». 

•*rang(a, p) = * (mod p) 

Les elements de CG(p) ay ant pour rang p-l sont appeles les « elements 
generateurs de CG(p). » La denomination est due aq fait que leurs 
puissances successives dans CG(p), c'est-a-dire, les termes de la suite {X} 
pour les indices de 1 a p-l, forment une permutation de tous les elements 

non nuls de CG(p). 

Soit un element generateur a de CG(p). Evaluons le rang de Telement a' 

(mod p) : ce rang s'exprime simplement en fonction de i et de p-l . 

=> Lorsque i est premier avec p-l, c* est p-l. 

=> Lorsque 1 divise p-l, c'est (p-l)/i. 

=> Dans tous les cas, c'est (p-l)/pgcd(p-l, /). 

Par consequent, dans le corps CG(p), il y a (p(p-l) elements generateurs ou 
cp est la fonction d'Euler. 

Par consequent, dans le corps de Galois CG(p) ou (p-l)/2 est un nombre 

premier impair note par p \ 

=> il y a un seul element de rang 1 : c'est 1, 

=> il y a un seul element de rang 2 : c'est -1, 



=*• il y a p '- 1 elements de rang p ', 

=> il y ap'-l elements de rang 2.p'\ ce sont les e!6ments generateurs. 

1.5. Fonction de Carmichael 

La fonction de Carmichael de n est notee par X(n). C'est la valeur maximale 
du rang (mod ri). 

=> Lorsque n est le produit de deux nombres premiers impairs p, et p , 

X(n) = ppcmft? -1, p 2 -l). 
=> Lorsque a et b sont premiers entre eux, 

X(a.b) = ppcm(X(a), Mb)). 
=> Pour les puissances d' un nombre premier impair p, 

W)=P'-- 

=>Pour les puissances de 2, 

M.2) = 1 ; M4) = 2; X(T) = 2'-\ 
=»Dans tous les cas, X(n) divise <p(w). L'6galit6 n'intervient que lorsque n 
est premier. 

1.6. Residus quadratiques 

Considerons 1'equation x = c (mod n) ou l'entier positif c est inferieur a n 
et premier avec n. 

• Lorsque 1'equation a des solutions en x, on dit que c est un residu 
quadratique (mod n). 

• Lorsque 1'equation n'a pas de solution en x, on dit que c est un nSsidu 
non quadratique (mod «). 

L'ensemble des residus quadratiques (mod ri) forme un groupe (mod ri) 
pour la multiplication. En effet, le produit de deux residus quadratiques 
(mod ri) est un residu quadratique (mod ri). En outre, le produit d'un residu 
quadratique (mod ri) par un residu non quadratique (mod ri) est un r6sidu 
non quadratique (mod ri). 

1.7. Structure du corps de Galois CG(p) 

Pour tout nombre premier impair p, il y a (p-\)/2 residus quadratiques (mod 
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p) et (p-l)/2 residus non quadratiques (mod p). De plus, l 2 , 2 2 , ... ((p-l)/2) 2 
forment un ensemble complet de r6sidus quadratiques (mod p). 
Pour tout nombre premier impair /?, chaque residu quadratique (mod p) a 
exactement deux racines carries dans CG(p). En effet, pour tout un 616ment 
g6nerateur a de CG(p), a (mod p) est un residu quadratique si et seulement 
si i est pair ; ses racines carries sont alors ±xx a (mod p). Les elements x et 
p—x ont le meme carr6 dans CG(p). 

Pour tout nombre premier p congru a 3 (mod 4), pour tout nombre x positif 
et plus petit que p 9 Tun des deux nombres x ou p-x est un r6sidu 
quadratique (mod p) et F autre un residu non quadratique (mod p). Alors, la 
transformation « elever au carr6 (mod p) » permute F ensemble des residus 
quadratiques (mod p). L' ensemble des residus quadratiques (mod p) est 
souvent note par Dans Tensemble Q p , les deux transformations « elever 
au carre (mod p) » et « prendre la racine carree (mod p) » sont definies et 
inverses Tune de 1* autre. 

Remarque. Dans CG(p), lorsque (p-l)/2 est un nombre premier impair p\ 
les residus quadratiques (mod p) sont les p -1 elements de rang p' 

completes par I'element de rang 1, c'est-a-dire, ] , 

Lorsque p est un nombre premier congru a 1 (mod 4), la propriete 
precedente peut se generaliser comme suit : si p-1 = z.2 e ou z est impair et e 
plus grand que 1, alors la transformation « elever au carre (mod p) » 
permute 1' ensemble des nombres c de rang impair, c'est-a-dire, dont le rang 
divise z (c'est z lui-meme ou bien un diviseur de z), c'est-a-dire, Tensemble 
des nombres c tels qu'il y a des solutions en x a l'equation suivante : 

x = c (mod p) 

D'une maniere plus generale, dans Tensemble des elements de rang impair 
de CG(p), T operation « elever au carre (mod p) » est une permutation. La 
permutation inverse peut legitimement s'appeler « prendre la racine carr6e 
(mod p). » _ 
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1.7.1. Fonction exponentielle sur CG(p) 

Lorsque p est un nombre premier impair et que a est un element generateur 
de CG(p), la transformation « elever a a la puissance x ieme (mod p) » 
permute les Elements non nuls de CG(p). La permutation inverse est definie 
par « prendre le logarithme discret de y en base a dans CG(p) ». 
Lorsque a est un Element generateur de CG(p), 

x\-+y = a x (mod p) <=> y H> x = log a (y ) dansCG(p) 

1.7.2. Fonction puissance sur CG(p) 

Lorsque p est un nombre premier impair et que v est premier avec p-1, la 
transformation « elever x a la puissance v ieme (mod p) » respecte le rang 
des 61ements. Elle permute les elements de CG(p). La permutation inverse 
est definie par une autre transformation « elever y a une puissance s ieme 
(mod p) » ou p-1 divise v.s-l. On dit que l'exposant s est « inverse de 
l'exposant v (mod p-l). » 

x h-> y s x v (mod p) <=> y ^x=y s (mod p) 
1.8. Symboles de Legendre et de Jacobi 

Lorsque p est un nombre premier, on peut classer les entiers positifs en 
deux categories : les multiples de p et les nombfes premiers avec p. En 
outre, les nombres premiers avec p se classent eux-memes en deux 
categories : les residus quadratiques (mod p) et les residus non quadratiques 
(mod p). 

Legendre a introduit un symbole special note par (c | p). Le symbole de 
Legendre de rentier positif c par rapport au nombre premier p prend les 
valeurs +1,-1 et 0. 

• (c I P) = 0 lorsque c est un multiple de p. 

• (c I P) = +1 lorsque c est un residu quadratique (mod p). 

• (c | p) = -1 lorsque c est un residu non quadratique (mod p). 

La formule suivante etablie par Euler permet de calculer le symbole de 
Legendre (en assimilant tout naturellement les valeurs -1 et p-l) ; cette 



formule est encore appelee le « critere d'Euler. » 

c* 1 " 2 (mod p) 

Le symbole de Jacobi generalise le symbole de Legendre. Les deux 
symboles sont notes de la meme maniere. Connaissant la factorisation de 
rentier impair n, la formule suivante definit le symbole de Jacobi par 
rapport ana partir du symbole de Legendre par rapport k chaque facteur 
premier de n. 

Si n=p ia .p 2 p„. , *lors (c | ri) = (c | p x )a.(c \ p 2 )p ... 
En d'autres termes, si a et b sont des entiers positifs impairs premiers avec 
c et c\ 

(c \ a . b) = (c | a), (c | b) et (c | a) . (c' | a)= (c\ c \ a) 
Attention, residus quadratiques et elements avec symbole de Jacobi egal a 
+1 ne coincident pas. 

* Tous les residus quadratiques (mod ri) ont un symbole de Jacobi egal a 
+1. 

* La valeur -1 du symbole de Jacobi caracterise exclusivement des residus 
non quadratiques (mod n). 

* Lorsque n n'est pas premier, il y a des residus non quadratiques dont ]e 
symbole de Jacobi vaut +1. 

Voici la base de la loi de reciprocity quadratique, la « reine de la theorie des 
nombres » aux dires de Gauss. Lorsque m et n sont deux nombres premiers 
impairs distincts, deux cas se presentent : 

- Ou bien, ils sont tous deux congrus a 3 (mod 4) ; dans ce cas, une 
seule des deux equations suivantes, x = m (mod n) et x 2 == n (mod m), 
a deux solutions en x. 

- Ou bien, ils ne sont pas tous deux congrus k 3 (mod 4) ; dans ce cas, 
les deux equations ont des solutions ou bien aucune des deux n'a de 
solution. 

La loi de reciprocite quadratique lie les symboles de Jacobi (m | ri) et 



u t = al et Vi^at + P* 
1 a-p 1 H 

On verifie alors simplement que les expressions sont encore vraies pour 

rindice i+2. Or, elles sont vraies pour les indices 0 et 1. Par recurrence, 

elles sont done vraies pour tout indice i positif ou nul. 

Par la suite, on utilisera egalement les relations suivantes. Leur 
demonstration est triviale. 

Pour doubler 1' indice, 

"2.1 =Mi-v/; v 2J =vf-2.P l 
Pour retrancher un a 1' indice, 

u i _i=(Sjt i -v i )/2.P et v M =(S.v l --Aji i )/2./> 
Pour ajouter un a 1' indice, 

u M = (Sui + v;)/2 et v i+1 = (S.Vi + A.u f -)/2 
Par ailleurs, les racines a et j3 s'expriment facilement en fonction de 
S =a + /3 et de Va = a-/3. 

a = (5 + VA)/2 et j3 = (S-VA)/2 

Les expressions de w. et v. en fonction des racines a et /3 s'ecrivent encore : 
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Developpons les polynomes (5 + VA) 2/:+1 et (5 -a/A) 2 ** +1 et combinons 
leurs developpements. 

9 2.fc _ r l «2.* . r 3 c 2.*-2 A , r 2.k-\ c 2 *ifc — 1 , A k 

=tcii: i 1 .s 2 -«-'>.A' 

1=0 

2" v 2jl+l = S 2i+l + C| t+1 .S"-'.A+ ... C%-j .S 3 .A*-' + C |£ +1 .S.A* 

=Xc 2 2 i + ,.s 2<i -'» +i .A' 
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C'est ainsi que Lucas a decouvert et etablit le theor&ne suivant : 

Lorsque p est un nombre premier impair ne divisant ni P 9 ni S, ni A, p 

divise u p -(A \ p) et u-^ I p} . 

2. Quelques methodes pratiques de calcul 

2.1. Racines carrees dans CG(p) 

Lorsque c^ ,V2 (mod p) vaut +1, l'equation x 2 = c (mod p) a deux solutions 
dans le corps de Galois CG(p) ; ces deux solutions sont appel6es « racines 
carrees de c (mod p) ». 

2.1.1. Cas ou p est congru a 3 (mod 4) 
Selon le critere d'Euler, on a : 

c (p-1)/2 s1 (mod p)) cequidonne) c O>+i>'2_ c (mod p) 

Lorsque le nombre premier p est congru a 3 (mod 4), le nombre (p+l)/4 est 
un entier ; par consequent, les deux racines carrees de c dans CG(p) sont 
alors ± C ( ' +1)M (modp). 

2.1.2. Cas ou p est congru a 1 (mod 4) 

Lorsque p est congru k 1 (mod 4), on utilise les suites de Lucas pour 
calculer une racine carree de c (mod p). On affecte la valeur c au parametre 
P. Puis, on cherchc une valeur du parametre S telle que le discriminate 
A = S 2 - 4.c soit un residu non quadratique (mod p). On procede par essais 
successifs. En pratique, on part de S = 1, puis, on fait croitre la valeur de S. 
Lorsque A est un residu non quadratique par rapport a un nombre premier p 
impair ne divisant ni c, ni 5, ni A, les suites de Lucas pour les indices p+1 et 
/?+2 sur le corps CG(p) sont dans l'etat initial multiplie par c. 
Or, on connait les relations suivantes : vf - A.uf = 4.P f et u 2 / = u { .v i 
En d'autres termes, p divise alors u p+l qui est egal au produit de w^ +Iy2 par 
V>vr Par consequent, p divise alors u^ |y2 ou v^. En fait, p ne peut 
diviser v^, w ; il divise done W(p+lv2 . 

On obtient done, v (Vi)/2 = 4.c (p+1)/2 (mod p) 

Or, c^ /2 =c (mod/,) 
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avant 



Par consequent, le nombre : x = — v (p+1)/2 (mod p) est alors une 

2 ^ 

solution a T equation : x = c (mod p). 

Les relations suivantes sont utilisees pour calculer les suites {U} et {V} 
ensemble. 

Pour doubler F indice, u 2 j = w,- .V/ ; v 2 = vf — 2.c' 
Pour ajouter 1 a F indice, w /+1 = + v,)/2; v i+1 = (A.U,- + S.v t )/2 
La procedure suivante utilise trois variables : x pour y pour vet z pour c\ 
L'indice cible est (p+l)/2 ; iLest code par une sequence de j bits. Cette 
sequence est examinee du bit de poids fort au bit de poids faible. 

1 . Donner a x la valeur 0 ; donner a y la valeur 2 ; donner k z la valeur 1 . 

2. Repeter j fois la sequence suivante. 

Remplacer x par x.y (mod p). 
Remplacer y par y 2 — 2.z (mod p) 
Remplacer z par z (mod p). 

Si le j ieme bit codant 1' indice cible vaut 1, executer la 
sequence suivante. 

Remplacer t par jc. 

Remplacer x par (S.t + y)/2 (mod p). 

Remplacer y par (5./ + &.y)I2 (mod /?) 

Remplacer z par z.c (mod p). 

3. Remplacer y par y/2 (mod p). Le resultat cherche est y. 
2.2. Algorithme d'Euclide 

L'algorithme d'Euclide opere la division des entiers. Soient deux entiers 
positifs x et y tels que x soit plus grand que y. Divisons x par y pour obtenir 
un quotient q positif et plus petit que ou egal a jc et un reste r positif ou nul 
et plus petit que y. 

Soit, 0 < y < x 
Par consequent, x = q.y + r avec 0<q<x et 0 < r < y 
2.2.1. Coefficients de Bezout et pgcd 
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Par definition, les coefficients de Bezout de deux entiers positifs x et y sont 
deux entiers k et / definis de maniere unique par : 

0<k<y, 0<l<x et lex - l.y = ±pgcd(x, y) 
Par divisions successives, ralgorithme d'Euclide permet de calculer 
efficacement les coefficients de Bezout et le plus grand commun diviseur 
de deux entiers positifs. 

A partir des valeurs initiales C 0 = x et C, = y, considerons les divisions 
successives : 

C 0 =qi-Ci+C 2 ; C l =q 2 .C 2 +C 3 ; ... 
jusqu' a : C L _, = q L .C L + C L+1 on C L+l = 0. 
Les restes successifs forment la suite {C} qui est ainsi d6finie pour les 
indices i allant de 0 a L+l . 

Les quotients successifs forment la suite [q] qui est ainsi definie pour les 
indices i allant de 1 a L. 

La suite {C} peut encore se definir de la maniere suivante. 

{C}= { C 0 = x; Cj = y; puis, pour / allant de 1 a L, C, +1 = - q t .C { } 
=> La suite {C} est strictement decroissante de C 0 jusqu' a C ul qui est nul. 
Definissons maintenant deux autres suites appelees {A} et {B}. 

{A}= { Aq = 1; A l = 0; puis, pour i allant de 1 a L, A i+l = A { _ x + q t .A, } 
{B}= { B 0 = 0; B x = 1; puis, pour /' allant de 1 a L, B i+l = B^ + q i .B t } 
Les premiers termes de la suite {A} sont 

A o= 1,A, =0,A 2 = 1,A 3 = 92 ,A 4 = 1 + ^ 2 . q 3 , ... 
La suite {A } est strictement croissante de A 3 a A L+I . 
Les premiers termes suivants de la suite {B} sont 

B 0 =0,B l = l,B 2 = q t ,B 3 =l+q l .q v ... 
=> La suite {B} est strictement croissante de B 2 a fi^,. 
En eliminant q. entre les definitions des suites {A} et {C}, nous obtenons : 

A-Q+i + = A-i-C/ + A f .C f _, 

Par consequent, la valeur de A^.C^, + A /+ ,.C, est constante pour i allant de 



OaL. 

Puisque Aq.C x + A V C 0 = y, nous obtenons : A L+1 ,C L = 
Et, de la meme maniere, ^ l = jc. 

Par ailleurs, remarquons les egalites : x.Aq - y.B 0 = x = (-1)°.C 0 

x.A 1 -y.B 1 =-y = (-l) 1 .C 1 
Supposons la relation vraie pour les indices /— 1 et / ; puis, verifions qu'elle 
est encore vraie pour l'indice 

xA M - y.B M = x^A^ + qi .At) - yXB^ + 
= (x.Ai„ x - + - = (-l)'"" 1 .^! - qi.Ci) = (-l)' +1 .C i+1 

Par recurrence, pour i allant de 1 a L, jc.A,- - y J? £ = (-1) 1 ,C f 
En particulier, on obtient finalement : x.A L - y.B L = (-1) L .C L 
Les coefficients de Bezout de x et y sont egaux a A L et 2?^. 
Le plus grand commun diviseur de x et y est egal a C v 
Exemple. Calculer les coefficients de Bezout de 10 103 et 63 659. 
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Les calculs sont plus simples que les explications. 
23 320 . 10 103 ±= 235 601 960 3 701 . 63 659 = 235 601 959 

23 320 . 10 103 - 3 701 . 63 659 = 1 

2.2.2. Inversion (mod n) 

L'algorithme d'Euclide calcule aussi T inverse (mod jc). Lorsque y est 

positif, que x est plus grand que y et que x et y sont premiers entre eux, 

c*est-a-dire, C L =pgcd(x, y) = 1, les notations « y- (mod x) » et « 1/y 

(mod x) » ont un sens. Bien entendu, la suite {A } est alors inutile. 

Lorsque L est impair, Finverse de y (mod x) est egal a B v 

Lorsque L est pair, P inverse de y (mod x) est egal a x - B L . 

Dans Texemple ci-dessus, 23 320 est l'inverse de 10 103 (mod 63 659). 

2.2.3. Methode des restes chinois 

Lorsque x et y sont deux entiers positifs premiers entre eux, les calculs 
suivants transforment une representation a une composante (mod x.y) en 
une representation a deux composantes (mod x) et (mod y). 0 

a x = a xy (mod x) et a y = a xy (mod 
Voyons maintenant comment realiser Toperation inverse, c'est-^-dire, 
comment calculer la representation a une composante (mod x.y) connaissant 
la representation a deux composantes (mod x) et (mod y). La technique 
decrite ci-dessous est connue comme la « methode des restes chinois. » 
Supposons x plus grand que y. Tout d'abord, reduisons x (mod >>), puis, 
inversons le resultat (mod y). Ce calcul est generalement fait a Tavance et 
le nombre X est stocks dans le dispositif de calcul. Le nombre A est un 
« param&tre des restes chinois. » 

X = {x (mod y) } J (mod y) 
Ensuite, reduisons la composante a x (mod y). 



a\-a x (mod y) 

Le r^sultat cherche s'obtient alors par Tune des deux formules suivantes. 
Lorsque a y est superieur ou 6gal k a ' x , 

a x> , = { X . (a - a' x ) (mod y)}. x + a 
Lorsque a est inferieur a a' x , 

a , y 55 U • + y ~ a \) ( mod x + a 
2.3. Calcul du symbole de Jacobi 

Le calcul du symbole de Jacobi d'un en tier positif k par rapport a un entier 
positif impair n plus grand que k se d6rou!e selon la procedure suivante qui 
utilise cinq variables appelee x, y, z, e et J. Cette procedure n' utilise pas la 
decomposition de n en facteurs premiers. 

• La variable x est positive et impaire, strictement decroissante h partir 
de la valeur initiale n. 

• La variable y est positive et inferieure a x, strictement decroissante a 
partir de la valeur initiale k. 

• La variable z est positive, impaire et inf&rieure a y. 

• La variable e est 1'exposant du facteur 2 extrait de y. Seule sa parite 
doit etre evaluee. 

• La variable J vaut +1 ou -1 en partant de la valeur initiale +1 . 
Calcul pratique de (k \ n) avec k positif et n impair et plus grand que k 

1. Donner a x la valeur n ; donner a y la valeur. k ; donner k J la 
valeur +1. 

2. Decomposer y en z.2 e ou z est impair et positif et e positif ou nul. 

(y \x) = T \ x) = (z \ x) . (2 | jc)* - 

Si e est impair et si x = 3 ou 5 (mod 8), changer le signe de 7. 

3. Appliquer la loi de reciprocity quadratique sur z et x qui sont 
tous deux impairs. 

(z !*) = (* I z) . (-l) u,) u - m 



=^ Si x et z = 3 (mod 4), changer le signe de J. 

4. Reduire x qui est toujours plus grand que z. 
=^ Remplacer y par x (mod z). 

=> Remplacer x par z. 

5. Si x est plus grand que 1, revenir & Tetape 2. 

Si x est 6gal a 1, alors le symbole de Jacobi vaut / et les deux 
nombres k et n sont premiers entre eux. 

Si x est nul, alors le symbole de Jacobi est nul et le pgcd de k et 
n est egal k z. 

Exemple. Calculer (10 103 | 63 659), c'est-2t-dire $ (2777 | F8AB) en 
notation hexad6cimale. 

On retrouve les divisions successives de Talgorithme d'Euclide et le calcul 
du pgcd. Le decalage de ligne rnat6rialise T extraction du facteur 2. Le 
symbole « * » materialise le changement de signe de 7. 
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Par consequent, (10 103 | 63 659) =-1. 
2.4. Carre et racine carree dans Q b 

Dans ce paragraphe, le module n est le produit de deux facteurs premiers p x 
et p 2 congrus a 3 (mod 4). Dans ce cas, (p,+l)/4 et Q? 2 +l)/4 sont des 
nombres entiers. 

Definissons la notation « (mod* n) ». Cette operation consiste a calculer 
normalement le r6sultat x (mod n), puis, a garder x ou n-x, le plus petit des 
deux, comme resultat final. 

Lorsque le module n est le produit de deux facteurs premiers p, et p 2 
congrus a 3 (mod 4), definissons la notation « Q a ». C'est l'ensemble des 
elements de l'anneau des entiers (mod n) qui sont plus petits que n/2 et dont 
le symbole de Jacobi par rapport a n vaut +1. L'ensemble Q n a une structure 
d'anneau. 

Considerons une premiere transformation definie par « 61ever un element x 
de Q„ au carre (mod* n) ». Le resultat y appartient egalement a Q n . 

y = x 2 (mod * n) 

Considerons une deuxieme transformation deTmie par « elever y a la 
puissance (/>,+l)/4 (mod />,) », puis, « elever y a la puissance (p 2 +l)/4 
(modp 2 ) », avant d'utiliser la methode des restes chinois pour etablir le 
resultat z (mod* n). Lorsque p, est plus petit que p v les calculs sont tres 
precisement les suivants. 

y\=y (mod Pl ); zi = y\ Pl +,)/4 (mod Pl ) 
y 2 =y (mod p 2 y y z 2 = y 2 P2+1)/4 (mod p 2 ) 
z'=z 2 (modpj); Si z x >z\ z'^z^z'; Sinon, z "= z, + />, - z' 
A={p 2 (mod/?,)} -1 (modpj); 
*i,2 = ft-z" (mod )}.p 2 + z 2 ; z = z 1>2 (mod * ri) 
Ces deux transformations sont inverses l'une de 1' autre. Leur produit est 
1' identity parce que le resultat z retablit le nombre x de depart. Ce sont deux 
permutations, inverses l'une de l'autre, des elements de Q n . 



La premiere permutation calcule « le carre y dans Q,, de l'616ment x de 
Q„ »■ 

La deuxieme transformation calcule done « la racine carree x dans O de 
l'61ement;ydeQ n ». 

Par la suite, on aura besoin de la « k ieme racine carree de y dans Q B , » 
e'est-a-dire, de la solution x dans Q„ a l'equation : 

2* 

y = x (mod * n) 

Plutdt que d'extraire k racines carrees de rang dans Q n , il vaut mieux 
proc^der « globalement » de la maniere suivante. Cette remarque fut faite 
en son temps par Oded Goldreich. 

y x = y (mod />,); z = {p x + 1)/4; t = z k (mod p x - 1); x, = y[ (mod p x ) 
y 2 = y (mod p 2 )\ z = (p 2 +l)/4; t = z k (mod Pl -1); x 2 = ;y 2 (mod/> 2 ) 
=* 2 (mod p,); Si Xj >x', x"=x A -x'; Sinon, x"=jc,+p, 
A={p 2 (modp!)} -1 (mod/?!); 
X U 5 {^" (mod Pi)}.p 2 +x 2 ; x = x l2 (mod * /i) 
2.5. Nombres de Williams et racine carree de 4 dans Q a 
Hugh C. Williams a d6couvert l'interet cryptographique des modules n, 
produits de deux facteurs premiers /?, et p 7 tels que /?, soit congru a 3 (mod 
8) et p 2 a 7 (mod 8). 

Lorsque le module « est le produit de deux facteurs premiers p t et p 2 tels 
que/?, soit congru a 3 (mod 8) etp 2 a 7 (mod 8), on obtient (2 | Pl ) = -1 et 
(2 | p 2 ) = +1, e'est-a-dire que 2 est un residu non quadratique (mod />,) et 
un residu quadratique (mod p 2 ) ; done, ni 2 (mod n), ni -2 (mod n) 
n'appartiennent a Q n . 

Par la suite, a denotera la racine carree de 4 dans Q n . Cette racine est 
representee par les composantes : a, = -2 (mod p,) et 0^=2 (mod p 2 ) ou 
bien par a, = 2 (mod p,) et ^=-2 (mod p 2 ) ; e'est Tenement dont la 
representation (mod n) est plus petite que n/2. 
II y a alors equivalence entre 
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la connaissance du nombre a et 
la connaissance de la factorisation du module n. 
Demonstration. 

D'une part, etant donne a, le module n divise d-4 ; mais le symbole de 
Jacobi de a par rapport a n vaut +1 alors que celui de 2 vaut -1 ; le module 
n ne divise done ni a-2, ni a+2. Par consequent, le facteur premier p 2 est le 
plus grand commun diviseur de n et a-2 ; le facteur premier p } est le plus 
grand commun diviseur de n et a+2. 

D' autre part, 6tant donnes les facteurs premiers p x et p v la racine carree de 
4 dans Q n est representee par les composantes : a, = -2 (mod et a 2 = 2 
(mod p 2 ), ou bien, a, = 2 (mod p,) et = -2 (mod p 2 ). Selon les restes 
chinois, on reconstruit a. 

Shafi Goldwasser, Silvio Micali et Ronald Rivest ont introduit la paire de 
fonctions {F 0 ; F,} sur Q n . 

F 0 (x) = x 2 (mod* n) et F^jc) = 4 jc 2 (mod* n) 
Cette paire de fonctions permute les elements de Q n . 

Une « collision » est defmie par deux elements x et y de Q n tels que F 0 (jc) = 
F]O0- Connaftre une collision equivaut a connaTtre les facteurs premiers du 
module n. La demonstration est semblable a la demonstration ci-dessus. Par 
consequent, cette paire de permutations resiste aux collisions pour qui ne 
connait pas les facteurs premiers p x et p 2 du module n. 

Nous disposons done de tous les ingredients necessaires a une 
demonstration de la connaissance de la factorisation d'un module public n 
sans en transferer la connaissance. 
3. Charges de travail 

La charge de travail pour « elever jc a la puissance v ieme (mod ri) » depend 
de la valeur et de la forme binaire de Texposant v, de la taille de Targument 
x et de la taille du module n. Dans le cadre de ce memoire, Texposant v est 
plus petit que le plus petit facteur premier du module n. 



L'utilisation des facteurs premiers p v p v ... d'un module n diminue la 
charge de travail pour calculer (mod n). Plutot que T operation directe 
« elever x a la puissance v ieme (mod ri) », on peut avantageusement 61ever 
x a la puissance v ieme dans chacun des corps CG(p x ), CGQ? 2 ), ... c'est-a- 
dire, (mod/?,), (mod/> 2 ), ... puis, etablir le resultat dans Fanneau Z n , c'est-a- 
dire, (mod n = p x fois p 2 fois ...). Cette maniere de proc6der est appel6e la 
« methode des restes chinois. » 
3.1. Multiplication et carre (mod n) 

En pratique, avec des programmes optimises, le rapport entre la charge de 
travail pour un « carre modulo » et la charge de travail pour une 
« multiplication modulo » est environ 0,75. Par exemple, sur le composant 
ST 16601 pour carte a puce, avec une horloge normalis6e a 3,579545 MHz, 
le carre modulo pour 512 bits se fait en 150 ms et la multiplication modulo 
en 200 ms. 

Pour effectuer une operation « multiplication modulo », on peut multiplier, 
puis, reduire : T operation de multiplication demande k peu pres autant 
d' effort que l'operation de reduction modulo. 

La multiplication de deux nombres de 512 bits peut se ramener a des 
multiplications de nombres de 256 bits. Chaque nombre de 512 bits s'ecrit 
alors a+b.2 256 ou a et b sont des nombres de 256 bits. La multiplication de 
a+b.2 256 par c+d.2 256 amene a calculer les quatre produits a.c, a.d, b.c et b.d. 
En doublant la longueur, on multiplie par quatre la charge de travail pour 
multiplier. Le carre de a+fc.2 256 amene k calculer les deux carr6s a, b 2 et le 
produit a.b. En doublant la longueur, on multiplie par trois la charge de 
travail pour elever au carre. 

De meme, la multiplication de deux nombres de 512 bits peut se ramener a 
des multiplications de nombres de 171 bits. Chaque nombre de 512 bits 
s'ecrit alors a+2 m .b+2 342 .c ou a, b et c sont des nombres de 171 bits. La 
multiplication de a+2 ,7l .fc+2 342 .c par ^+2 ,7, .<?+2 M2 ./ amene a calculer neuf. En 
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doublant la longueur, on multiplie par neuf la charge de travail pour 
multiplier. Le carre de a+2 m .fe+2 342 .c amene a calculer trois carres et trois 
produits. En doublant la longueur, on multiplie par six la charge de travail 
pour elever au carre. 

3.2. Elever x a la puissance v ieme (mod n) 

Prenons en exemple la valeur v = 3, puis, la valeur v = 65537. 

Pour v = 3, c'est-a-dire, 2+1, il faut elever l'argument au carr6 (mod n), 

puis, multiplier le resultat pari' argument (mod n). 

Pour v = 65 537, c'est-a-dire, 2 I6 +1, il faut elever 1' argument au carre 
(modn) seize fois de rang, puis, multiplier le resultat par T argument 
(mod ri). 

Dans le cadre de ce memoire, l'exposant v est plus petit que le plus petit 
facteur premier du module n. II n'y a done pas done de reduction de 
l'exposant v en fonction des differents facteurs premiers du module n. Par 
rapport au calcul direct de « elever x a la puissance v ieme (mod n) » ou 
l'argument x et le module n ont la meme taille, la methode des restes 
chinois divise la charge de travail 

- par deux lorsque le module n a deux facteurs premiers p } et p 2 de meme 
taille, 

- par trois lorsque le module n a trois facteurs premiers p v p 2 et p 3 de meme 
taille, 

et ainsi de suite. 

On peut generaliser la methode precedente ; ainsi, la procedure suivante 
calcule x v (mod n) pour un exposant v = 2 x +v l -_|.2 l ~ 1 + ... V].2 + v 0 ou 
chaque bit de v a v 0 vaut 0 ou 1 . 

1 . Donner a y la valeur x. 

2. Repeter la sequence suivante pour k allant de i— 1 a 0. 

Remplacer y par y 2 (mod n). 

Si le bit v k vaut 1, remplacer y par x.y (mod n). 



3. Le resultat cherche est y. 
Selon la procedure precedente, le calcul peut se faire par log 2 (v) carres 
(mod n) entrelaces avec h(v) multiplications (mod n). La notation h(v) 
represente un de moins que le poids de Hamming de v, c'est-^-dire, que 
Tecriture de v en binaire comporte h(v)+l bits k 1. 

Pour un module n de 512 bits, cela signifie log 2 (v) carres (mod n sur 512 
bits) et h(v) multiplications (mod n sur 512 bits). 

Pour un module n de 256 bits, cela signifie log 2 (v) carres (mod n sur 256 
bits) et h(v) multiplications (mod n sur 256 bits). 

Pour un module n de 171 bits, cela signifie log 2 (v) carres (mod n sur 171 
bits) et h(v) multiplications (mod n sur 171 bits). 

Deuxieme partie : nouveau procede 
1. Expose du nouveau procede 

Le procede est destine a prouver l'origine et 1* integrity d'un message 

nurnerique m, lequel message peut etre vide. Ce procede permet 

Fauthentification d'entite, r authentication de message ou la signature de 

message. 

1.1. Parametres 

Le procede met en oeuvre un premier ensemble de nombres entiers, k savoir 
au moins deux facteurs premiers notes par p l p 2 p 3 ... Certains facteurs 
premiers peuvent apparaitre plusieurs fois. Le produit des facteurs premiers 
forme un module public n = p x . p 2 (. p y ...). 

un jeu de « parametres des restes chinois » notes. A X b A c .... II y a un 
parametre de moins que de facteurs premiers. 

Attention, il y a plusieurs jeux de parametres « equivalents. » Supposons 
que 

les grands nombres premiers sont ranges dans Tordre croissant, 

s'il y a trois nombres premiers, p 3 est plus petit que p x fois p 2 , 

sMl y a quatre nombres premiers, p 4 est plus petit que /?, fois p 2 fois p v 
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et ainsi de suite. 

Dans ce cas, voici un exemple de jeu de parametres des restes chinois. 

K = (pi ( mod Pi ( mod Pi ) 
K =((Pi-P2 (mod P3))" 1 (mod p 3 ) 
^c=i(Pi-P2 P3 (mod p 4 )) _1 ( mod Pa) 
Et ainsi de suite. 

Le procede met en oeuvre un deuxieme ensemble de nombres entiers, a 
savoir, au moins un exposant public de verification note par v, et, pour 
chaque exposant v, au moins une paire de cles selon la pr6sente invention 
comprenant une cle privee notee par Q et une cle publique notee par G. Une 
des deux relations suivantes lie chaque paire de cles selon la presente 
invention par les nombres vet n. 

GQ V =1 (mod n) oubien G = Q V (mod n) 

En T absence de toute ambigui'te, en particulier, s'il y a un seul exposant 
public de verification v, on utilise la notation (G, Q), puis, si besoin est, 
(GA, QA\ (GZJ, QB\ (GC, fiC), ... 

Avec plusieurs exposants publics de verification vx vy vz on utilise en 
outre la notation (Gx, Qx), (Gy, Qy), puis, si besoins est, (GxA, QxA), 
(GxB, QxB\ ... (GyA, QyA\ (GyB, QyB\ ... 

En pratique, chaque cle privee Q n'est jamais utilisee telle quelle* 

On utilise uniquement un jeu de composantes Q l Q 2 Q 3 une 
composante par facteur premier. 

Q\=Q (mod p x )\ Q 2 =Q (mod p 2 )\ Q 3 =Q (mod p 3 ); 

et ainsi de suite. 

Par la methode des restes chinois, on pourrait retablir chaque cle privee Q a 

partir du jeu de composantes Q l Q 2 Q 3 En pratique, il n'y a jamais lieu 

de retablir les cles privees Q. 

■ 

Q a -Qi ( mod pi); ; 

Si & > Q a , Qa =Q\ ~Qa\ Sinon, Qa = Qi +Pl-Q a > 




Gi,2 = {V£* (mod Pi)\p 2 +Q 2 \ 

Qb =Q\a (mod/73); 

Si Q 3 >Q b , Q b -Q 3 -Q b \ Sinon, Q b =Q 3 + p 3 -Q b y 

Q\X3=W-Qb (mod P 3 )jpi-/>2+!2i,2; 
Et ainsi de suite. Q est egal a Qi t 2,3,... 
1*1.1. Paire de cles selon la presente invention conferant une securite 
equivalente a la connaissance de la cle privee Q 

Les composantes Q x Q 2 Q 3 ... sont des nombres pris au hasard tels que 
0 < Q x < p v 0<Q 2 <p 2 , 0<Q 3 < p 3 , ... II y a une composante par facteur 
premier. En pratique, pour reduire la charge de travail, on choisit des 
composantes Q i « courtes », c'est-k-dire, de Tordre de grandeur de la 
racine troisieme ou quatrieme du facteur premier p r 

Note. L' ensemble de ces composantes represente une cle privee Q. La cle 
privee Q n'est jamais utilisee telle quelle. 

Qa =02 (modpx); ; 

Si Qi > Q a , Q a = Q\ -Q a \ Sinon, Q a =Q x +p x -Q a \ 

Q\2=VaQa (mod Pi)jp 2 + 02; 

Qb =Q\ t 2 (modp 3 ); 
Si Q 3 >Q b , Q b =Q 3 -Q b ; Sinon, Q b = Q 3 + p 3 -Q b ; 
Q\.2.3=]fo-Qb (mod p 3 ))p x .p 2 +Q\X> 
Et ainsi de suite. Q est egal a 2i,2,3..„ 

La cle publique G est la puissance v ieme de Q (mod n) ou bien son inverse 
(mod n). 

G = Q V (modn) oubien G={Q V (mod n)}- 1 (mod n) 

Note. En pratique, pour calculer le nombre G, on eleve chaque nombre Q. 
a la puissance v ieme (mod p.) 9 ... , puis, on utilise la methode des restes 
chinois pour etablir le resultat (mod n) ou son inverse (mod ri). 

G x = Qi (mod pO; 



G 2 = Q2 (mod/7 2 ); G a =G 2 (mod pj); 
Si G l >G at G a =G l -G a ; Sinon, G a =G l +p x -G a ; 
G\,2 = fya G a (mod Pi )\p 2 +G 2 ; G b = G 1>2 (mod p 3 ); 

G 3 =Ql (mod p 3 ) 
Si G 3 > G^, G^ - G 3 -G^; Sinon, G^ = G 3 + p 3 -G h ; 

G \X3=W G b (mod p 3 )}/>i./>2 +^i,2i 
Et ainsi de suite. G est egal a G 12 ,3, ou bien, k son inverse (mod n). 
Lorsque le nombre entier v est premier, on assure la propriete de securit6 
annoncee. 

1.1-2. Paire de cles selon la presente invention conferant une securite 
equivalente a la connaissance de la factorisation de n 

L'exposant public de verification v est egal a 2\ Le nombre entier k est un 
parametre de securite plus grand que 1. La valeur k = 1 est interdite. 
Chaque nombre g est un entier inferieur au plus petit facteur premier. En 
outre, pour au moins un facteur premier p 9 V equation x = g (mod p) n'a pas 
de solution en x dans CG(p) et pour au moins un facteur q V equation x 2 = 
-g (mod q) n'a pas de solution en x dans CG(q). Cette construction assure 
que les deux equations x = g (mod ri) et x = -g (mod n) n'ont pas de. 
solution en ; ;r :: ci£ns l'anneau des entiers modulo /?, c'est-a-dire que les 
nombres g et ~g sont deux residus non quadratiques (mod «). 
Note. En pratique, on utilise pour g les nombres 2, 3, 5, 6, ... en eliminant 
bien sur les carres tels que 4, 9, ... 

Note. II n'est pas recommande d'utiliser 6 comme nombre de base en 
meme temps que 2 et 3 parce qu'ils se combinent par multiplication. On dit 
qu'ils ne sont pas « independants. » II vaut mieux utiliser 2 et 3 comme 
nombres de base et retrouver 6 comme le produit de 2 et 3. 

Pour chaque nombre g, la cle publique G est egale a g 2 . 



Pour chaque nombre g y chaque composante Q x Q 2 g 3 ... est la k feme 
racine carree de G dans CG(p) qui est un residu quadratique dans CG(/?). II 
y a une composante par facteur premier. 

Exemple de calcul de la k feme racine carr6e quadratique de G dans CG(p) 
On pourra utilement consulter Tappendice 3, « Quadratic Residues », pp. 
278-288, dans l'ouvrage « Prime Numbers and Computer Methods for 
Factorization », Hans Riesel, Birkhauser, Boston, Basel, Stuttgart, 1985. 
Pour chaque facteur premier p congru k 3 (mod 4), on eleve k fois de rang 
G & la puissance (p+l)/4 pour obtenir la k feme racine carree quadratique de 
G dans le corps CG(p) ; puis, on inverse ou non le resultat (mod p) pour 
obtenir la composante Q. pour le facteur premier p r 

Note. Plutdt que d'extraire k racines carrees successivement, on peut 
proceder de maniere globale. 

x = (/? + l)/4; y = x k (mod p -1); z = p -1- y; Q P =G Z (mod/?); 
par consequent, pdivise GQ p — 1. 

ou bien, 

x = (/? + l)/4; y = x k (mod/7-1); z = y\ Q p =G Z (mod p); 
par consequent, /?divise Q 7 p — G. 
Pour chaque facteur premier p congru a 1 (mod 4), on utilise les suites de 
Lucas pour extraire les racines carrees successives, jusqu'a obtenir la k 
ieme racine carree de G dans le corps CG(p), avant d'inverser ou non le 
resultat (mod p) pour obtenir la composante Q. pour le facteur premier p . 

Far consequent, /?divise G.Q p " -1 ou bien, Q 2 * -G. 
Les cles G et Q sont deux residus quadratiques (mod n). La paire de cles 
selon la presente invention verifie Tune des deux relations suivantes. 
G.Q 2 =1 (mod n) ou bien, £? 2 * =G (mod n) 

Par consequent, dans Tanneau des entiers modulo n, le Jt-1 ieme carre de 
chaque cle privee Q ou son inverse (mod n) est une racine carree non 
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triviale de la cle publique G = g 2 . Appelons q cette racine carree de G (mod 
ri) qui n'est ni g ni -g. Par consequent, n qui divise ^ 2 -g 2 ne divise ni q-g ni 
q+g. Ainsi, le module n se scinde en deux facteurs non triviaux : le pgcd de 
n et de q-g et le pgcd de n et de q+g. Par consequent, pour n'importe quelle 
cle priv6e Q, la connaissance de n'importe laquelle des k valeurs {Q 9 Q 2 , 
<2\ ... jusqu'au k-1 ieme carre de Q (mod n)} revele une factorisation 
non triviale du module «. 

Contraintes induites par les nombres de base sur les facteurs premiers 

On peut utilement consulter le chapitre 3, « Quadratic Residues », pp. 35- 
46, dans Touvrage « Introduction to Number Theory », Hua Loo Keng, 
Springer Verlag, Berlin, Heidelberg, 1982. 

❖ (2 I p) - +1 lorsque p est congru a ±1 (mod 8). 
(2 | p) = -1 lorsque p est congru a ±3 (mod 8). 

Pour utiliser g = 2, c'est-k-dire, la cle publique G = 4, il suffit qu'un 
facteur premier soit congru a ±3 (mod 8). Alors, le nombre 2 est un 
residu non quadratique modulo n. 

❖ (3 | p) = +1 lorsque p est congru a ±1 (mod 12). 
(3 | p) = -1 lorsque p est congru a ±5 (mod 12). 

Pour utiliser g = 3, c'est-a-dire, la cle publique G = 9, il suffit qu'un 
facteur premier soit congru a ±5 (mod 12). Alors, le nombre 3 est un 
residu non quadratique modulo n. 

❖ Le nombre g = 4 est un carre ; il n'est done pas utilise. 
(5 I p) = +1 lorsque p est congru a ±1 (mod 5). 

(5 | p) = -l lorsque p est congru a ±2 (mod 5). 

Pour utiliser g = 5, c'est-a-dire, la cle publique G = 25, il suffit qu'un 
facteur premier soit congru a ±2 (mod 5). Alors, le nombre 5 est un 
residu non quadratique modulo n. 

❖ (6 | p) = +1 lorsque /? est congru a ±1 ou ±5 (mod 24). 
(6 | p) = -1 lorsque /? est congru a ±7 ou ±1 1 (mod 24). 
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Pour utiliser g = 6, c'est-a-dire, la cle publique G = 36, il suffit qu'un 

facteur premier soit congru a ±7 ou ±1 1 (mod 24). Alors, le nombre 6 

est un residu non quadratique modulo n. 
* (7 I P) = +1 lorsque p est congru k ±1, ±3 ou ±9 (mod 28). 

(7 I P) = -1 lorsque /? est congru a ±5, ±1 1 ou ±13 (mod 28). 

Pour utiliser g = 7, c'est-a-dire, la cle publique G = 49, il suffit qu'un 

facteur premier soit congru k ±2 (mod 5). Alors, le nombre 7 est un 

residu non quadratique modulo n. 
Note. Tous les t6moins peuvent utiliser le meme jeu de cles publiques GA, 
GB, GC, GD, ... , par exemple, 4, 9, 25 et 49, moyennant des contraintes 
elementaires sur la selection des facteurs premiers. Ces contraintes sont 
pratiquement gratuites lorsqu'elles sont integrees aux procedures de 
production des facteurs premiers. 
1.1.3. Generalisation de la structure precedente 

Le nombre a est un nombre impair. II doit diviser au moins un facteur 
premier moins un. 

Note. En pratique, on donne au nombre a les valeurs des nombres premiers 

a partir de 3, soit : 3, 5, 7, 1 1 , ... 

L'exposant public de verification v est egal a a\ Le nombre en tier k est un 
parametre de securite plus grand que 1. La valeur k = 1 est interdite. 
Chaque nombre g est un entier inferieur au plus petit facteur premier. En 
outre, pour au moins un facteur premier p tel que a divise p— 1, l'equation x a 
= g (mod p) n'a pas de racine en x dans CG(p). 

Note. Cette construction generalise les residus non quadratiques (mod n). 
Par exemple, dans le cas a = 3, on dit que le nombre g est un residu non 
cubique (mod n). Dans le cas general, on parle de residu non a dique (mod 

n\ 

Note. En pratique, on donne au nombre g les valeurs 2, 3, 4, 5, ... en 
. eliminant les puissances a iemes. 
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Pour chaque nombre g, la c\6 publique G est egale a g". 

Pour chaque nombre g, chaque composante Q x Q 2 g 3 ... est la k ieme 
racine a ifeme de G dans CG(p) qui est un r6sidu a dique dans CG(p). II y a 
une composante par facteur premier. 

Exemple de calcul de la k feme racine troisifcme de G dans CG(p) qui est un 
residu cubique dans CG(p). 

Pour chaque facteur premier p congru h. 2 (mod 3), on 61eve k fois de rang 
G a la puissance (p—2)/3 pour obtenir la k ieme racine a ieme de G dans le 
corps CG(p) ; puis, on inverse ou non le resultat (mod p) pour obtenir la 
composante Q. pour le facteur premier p.. 

Note. On peut proceder de maniere globale pour acceder directement au 
resultat cherche. 

x = (/>-2)/3; y = x k (mod p-l); z = y; Q P =G Z (mod/?); 
par consequent, pdivise — G. 
x = (p-2)/3; y = x k (modp-l); z = p-l-y; Q P =G Z (mod p); 

3* 

par consequent, pdivise GQ p —1. 

Pour chaque facteur premier p congru a 1 (mod 3), 

pdivise G.Q 3 p -1 oubien Q 3 p —G. 

1.2. Entites 

Le precede met en ceuvre les trois entites suivantes. 

Une premiere entite temoigne ; c'est le temoin. II dispose d'un exposant 
public de verification v = 2*. En fonction des compromis retenus entre 
charge de travail et volume de donnees a stocker, le temoin stocke encore 
d'autres nombres : 

- ou bien les j facteurs premiers p x p 2 p 3 ... et les / cles publiques GA 
GB ... ; a chaque appel, le temoin doit alors reconstituer les I cles 
privees QA QB . . . selon le parametre k a partir des / cles publiques 
GA GB ... et des j facteurs premiers p x p 2 p 3 ... ; 



- ou bien, le module n et les 1 cles privees QA QB .. . ; le temoin ne fait 
alors appel ni aux facteurs premiers ni aux restes chinois ; 

- ou bien un ensemble de 7'.(Z+2)— 1 nombres prives de tailles voisines 
pour utiliser les facteurs premiers et les restes chinois : 

- j facteurs premiers p l p 2 p 3 

- 7-I parametres des restes chinois X a k b 

- j.l composantes de cles privies : QA X QA 2 ... QB X QB 2 ... 
Une deuxifcme entite pilote le temoin ; c'est le pilote. II dispose d'un 
certificat Cert(/<i, n) liant le module n a une identity Id. II connait un 
message m. S*il s'agit d'une authentification dynamique, c'est-k-dire, d'une 
preuve interactive de connaissance, il est encore appele demonstrateur. En 
cas d' authentification d' entite, le demonstrateur n'a pratiquement rien a 
faire. En cas d' authentification de message, le demonstrateur dispose d'une 
fonction de hachage f. S'il s*agit d'une signature numerique de message, 
c'est-k-dire, d'une preuve non interactive de connaissance, le pilote est 
encore appele signataire ; le signataire dispose de Texposant public de 
verification v et d'une fonction de hachage f. 

Une troisieme entite verifie ; c'est le controleur. Selon le cas, le controleur 
verifie T authentification ou la signature ; il dispose d'un module public AT 
pour ouvrir les certificats afin d'etablir une identite Id et un module n, de 
Texposant public de verification v = 2\ des I cles publiques GA, GB, ... et 
de la fonction de hachage f. 

Note. Chaque jeu de composantes Q x Q 2 Q s ... represente une cle priv6e 
Q. Chaque paire de cles selon la presente invention est liee aux nombres v 
et n par l'une des deux relations suivantes. 

G.Q V =1 (mod n) oubien G = Q V (mod n) 
En termes de charge de travail du temoin, la solution optimale consiste a 
utiliser les facteurs premiers, les parametres des restes chinois et les 
composantes des cles privees. Chaque cle privee Q est construite, puis, 



stockee et utilisee sous la forme de composantes, Q x Q 2 ... une composante 
par facteur premier, p,p 2 ... Les cles privies Q n'apparaissent alors jamais 
et le temoin n' utilise pas non plus les cles publiques G. 
En termes de charge de travail du contrdleur, la solution optimale consiste k 
utiliser pour G une valeur qui soit la plus petite possible. Les valeurs sur un 
seul quartet ou un seul octet sont particulierement conseillees. En pratique, 
on utilise pour ga gb ... les premiers nombres premiers : 2, 3, 5, 7, 1 1, .... 
Dans la presentation qui suit le temoin utilise les facteurs premiers et les 
restes chinois. Le temoin peut s'en abstenir, ce qui affecte simplement et 
seulement les actions du temoin. Le protocole GQ2 d6roule les Stapes 
suivantes permettant au contr61eur de verifier l'origine et Tintegrit6 d'un 
message m. 

- L'authentification dynamique est une preuve interactive. 

- La signature numerique est une preuve non interactive. 
1.3. Etapes 

Le precede comporte les etapes suivantes. 
Etape 7. Engagement du temoin 

• A chaque appel, pour chaque exposant public de verification vx vy vz 

le temoin tire au hasard et en prive au moins un jeu de nombres entiers : 
pour chaque facteur premier />., chaque jeu comporte un nombre entier r. 
positif et plus petit que p r Ces nombres entiers sont ensuite appeles les 
aleas r l r 2 r 3 ... 

0<r 1 < jPl ; 0<r 2 <p 2 ; 0<r 3 <p 3 ; ... 

• Pour chaque exposant public de verification vx vy vz et pour chaque 
facteur premier p., le t6moin eleve chaque alea r. k la puissance v i&me (mod 

/>,)• 

Rl = (mod p x )\ R 2 = r 2 v (mod p 2 )\ R 3 = r 3 v (mod p 3 ); ... 

• Puis, le temoin etablit chaque engagement R (mod n) selon la methode 
des restes chinois. 



Ra = R 2 (mod p,); 
Si R } >R a \ Ra'^Rx-Ra'; Sinon, R a y R } + Pl -tf a *; 
*i,2 s (mod />!)}p 2 +*2; s *i.2 (mod /> 3 ); 

Si R 3 >R b , R b = R 3 -R b ; Sinon, R b =R 3 +p 3 -R b \ 
*i,2,3 = (mod p 3 ) \p x .p 2 + i?i t 2 ; 

Et ainsi de suite. R est egal & /?i f 2,3 
Pour chaque exposant public de verification vx vy vz il y a autant 
d' engagements R que dejeux d'aleas r, r 2 r 3 ... 

Etape 2. Defi au temoin 
En cas d'authentification d'entite, 

le demonstrateur transmet tout ou partie de chaque engagement R au 
controleur ; 

apres avoir re9u tout ou partie de chaque engagement R, le controleur 
produit au moins une sequence de nombres de 0 a v-1 pris au hasard. 
En cas d'authentification de message, 

le demonstrateur applique une fonctiop de hachage f ayant comme 
arguments le message m et chaque engagement R pour obtenir un jeton 
T a transmettre au controleur, 
apres avoir re9u le jeton T 9 le controleur produit au moins une sequence de 
nombres deOa v-1 pris au hasard. 
En cas de signature numerique de message, le signataire applique une 
fonction de hachage f ayant comme arguments le message m et chaque 
engagement R pour obtenir au moins une sequence de nombres de 0 k v— 1. 
Dans les trois cas, pour chaque exposant public de verification vx vy vz 
chaque sequence comporte autant de nombres de 0 a v-1 qu'il y a de paires 
de cles selon la presente invention ; dans chaque sequence, les nombres 
sont notes par dA, dB, ... Chaque sequence de nombres de 0 i v-1 est 
ensuite appelee defi d. Pour chaque exposant public de verification vx vy 
vz il y a autant de defis d que d' engagements R. 



Etape 3. Reponse du temoin au defl 

♦ Pour chaque exposant public de verification vx vy vz pour chaque 
facteur premier p p le temoin calcule 

la puissance dA ieme de la composante QA i (mod p.), 
la puissance dB ieme de la composante QB. (mod p,), 

le produit des resultats precedents par l'alea r (mod p.) ; 
D x s r^QAfA.QBf*... (mod Pl ); D 2 = r 2 .QA^ .QBf ... (mod p 2 ); 
D 3 ^r 3 .QAf.QBf ... (modp 3 ); 

• Puis, pour chaque exposant public de verification vx vy vz le temoin 
etablit au moins une reponse D (mod ri) selon la methode des restes chinois. 

D a = D 2 (modp^; 
Si D x >D a , D a =D x -D a \ Sinon, D" a = 1^+ Pl -D a ; 
A,2 = &a &a (mod Pl ) \p 2 + D 2 ; 
D b = D h2 (mod/? 3 ); 
Si D 3 >D b9 D b =D 3 -D b ; Sinon, = D 3 + p 3 -D b ; 

D \X^-W D b (mod p 3 )W/>2+A,2; 
Et ainsi de suite. D est egal a /)] 2 3 

Pour chaque exposant public de verification vjc vy vz il y a autant de 
reponses D que de defis d. 

Note. Chaque appel au temoin se traduit a T interface par autant de triplets 
{R, d, D} que de jeux d'aleas r x r 2 r 3 ... Remarquons qu'en elevant la 
reponse D a la puissance v ieme (mod n), on doit retrouver 1' engagement R 
divise ou multiplie, selon T equation retenue pour lier les paires de cles 
selon la presente invention aux nombres v et n, par la puissance dA ieme de 
GA, la puissance dB ieme de Gfl, ... Par consequent, chaque triplet {/?, d, 
D] doit verifier l'une des deux relations suivantes. 

R^GA^.GB* 8 . ... D v (modn); 
ou bien R GA^ GB dB . ... s D v (mod «); 
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Etape 4. Donnees destinees au controleur 

En cas d' authentication d'entite ou de message, le demonstrates transmet 
chaque reponse D au controleur. 

En cas de signature num6rique de message, le signataire transmet un 
message signe au contrdleur. Le message sign6 comprend le message m, 
ainsi que : 

* chaque defi d ou chaque engagement R 9 

* chaque reponse Z). 

Etape 5. Verification exercee par le controleur 
Note. On aurait pu tester ici le symbole de Jacobi de chaque reponse, & 
condition d'avoir force le symbole de Talea a T6tape 1. Cependant, il vaut 
mieux « laisser tomber les symboles ». II est bien plus economique 
d' accepter de perdre un bit de defi. 

Note. L'une des deux relations suivantes reconstruit un engagement note 
par/T. 

R'^iGA^.GB**. ...)D V (modn); 
oubien R' = D v / (GA dA .GB dB . ...) (modn); 
En cas d'authentification d^ect^itc, ]e controleur doit appliquer la formule 
appropriee pour reconstruire chaque engagement R' : aucun ne doit etre 
nul. Chaque engagement reconstruit R' doit reproduire Tintegralite des 
donnees transmises k 1' etape 2, c'est-k-dire, tout ou partie de chaque 
engagement R. Lorsque toutes les conditions sont remplies, 
Tauthentification d'entite est reussie. 

En cas d'authentification de message, le contrdleur doit appliquer la 
formule appropriee pour reconstruire chaque engagement R' : aucun ne doit 
etre nul. Puis, il doit appliquer la fonction de hachage f ayant comme 
arguments le message m et chaque engagement reconstruit R' pour 
reconstruire le jeton T\ Le jeton reconstruit T' doit Stre identique au jeton T 




de l'6tape 2. Lorsque toutes les conditions sont remplies, l'authentification 
de message est reussie. 

En cas de signature numerique de message, selon le cas, 

• le controleur doit appliquer la formule appropriee pour reconstruire 
chaque engagement R ' : aucun ne doit etre nul. Puis, il doit appliquer 
la fonction de hachage f ayant comme arguments le message m et 
chaque engagement reconstruit R' pour reconstruire chaque deTi d\ 
Chaque defi reconstruit d' doit etre identique au d6fi d figurant dans 
le message signe. Lorsque toutes les conditions sont remplies, la 
signature est correcte. 

• le contrdleur doit appliquer la fonction de hachage f ayant comme 
arguments le message m et chaque engagement R figurant dans le 
message signe pour reconstruire chaque defi d\ Puis, il doit 
appliquer la formule appropriee pour contrdler la coherence de 
chaque triplet {R, d\ D}. Chaque triplet doit etre coherent. Lorsque 
toutes les conditions sont remplies, la signature numerique est 
correcte. 

2. Triplets 

Chaque appel au temoin se traduit par une collection de triplets a 1' interface 
du temoin. Chaque triplet {R, d, D} comprend un engagement R, un defi d 
et une reponse D. II y a deux manieres de produire des triplets : une 
maniere de produire en prive et une maniere de produire en public. 

• Le temoin produit en prive selon la chronologie suivante : a chaque 
appel, il fixe d'abord un nouveau jeu d'aleas qu'il transforme en un 
engagement R, puis, il produit la reponse D a n'importe quel defi d 
deOav-1. ^ 

• N'importe qui peut produire en public selon la chronologie suivante : 
quel que soit le defi ideOa v-1, n'importe qui peut completer le 
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triplet k partir de n'importe quelle reponse D en etablissant 
F engagement R grace aux nombres publics G, v et n. 
3. Tenailles 

Par definition, deux triplets sont « en tenaille » lorsqu'ils sont constitu6s 
des deux r6ponses D et E k deux defis d et e pour le meme engagement R 9 
c'est-a-dire, {/?, d, D} et {/?, e, E}. 

A chaque appel, le temoin est en position de produire des triplets en 
tenaille : il lui suffirait de reutiliser un jeu d'aleas. Mais il se garde bien des 
tenailles : en tirant au hasard un jeu d'aleas k chaque appel, il utilise en 
pratique chaque fois un nouveau jeu d'aleas. 

3.1. Paire de cles selon la presente invention conferant une securite 
equivalente a la connaissance de la cle privee Q 

La connaissance de deux triplets « en tenaille » equivaut k la connaissance 

de la cle privee Q. 

Demonstration. 

D'une part, le temoin se configure a partir des facteurs premiers p l p % p 3 
de la cle privee Q et de Fexposant public de verification v. Une fois 

configure, le temoin pent produire une tenaille : il lui suffit d'utiliser deux 
fois le meme jeu d'aleas. 

D' autre part, deux triplets en tenaille se traduisent par les equations 
suivantes : 

D = r.Q d (mod n) et E = r.Q e (mod n) avec 0 < d < e < v 
Par consequent, E/D = Q e ~ d (mod «), avec 0<^-rf<v 
Voyons comment calculer la cle privee Q a partir du rapport E/D, lequel 
vaut Q e - (mod ri) y c'est-a-dire Fune des v-1 valeurs {Q y £>\ £> 3 , ... Q v - 
(mod n)}, sachant que Q v (mod n) est la cle publique G ou son inverse 
modulo n. 

La solution fait appel a Fidentite de Bezout. Par definition, les coefficients 
de Bezout de v et de e-d sont les deux entiers k et I verifiant les relations 



suivantes; l'algorithme de division d'Euclide permet de les calculer 
efficacement. 

0<k<e-d; 0<1< V ; k.v-l.(e-d) = ±pgcd(e-d,v) 
Dans le cas present, v est premier et done pgcd(<?-rf, v) = 1. Ce qui donne 
l'identit6 : 

Q W-d) aQ ±i (modw) 
C'est-a-dire, {Q v ) k KQ e ~ d ) 1 = Q ±l (modn) 

• Lorsque G = Q V (mod «) est utilisee, G k /(E/D) 1 (mod n) vaut 

Q (mod n) ou son inverse modulo n. 

• Lorsque G.Q V =1 (mod ri) est utilisee, G k .(EID) 1 (modn) vaut 

Q (mod n) ou son inverse modulo n. 
3.2. Jeux de cles selon la presente invention conferant une securite 
equivalente a la connaissance de la factorisation de n 
Les nombres GQ2 sont des produits de /+1 facteurs premiers distincts 
congrus a 3 (mod 4) avec la contrainte suivante : pour chacun de / petits 
nombres distincts, appetes nombres de base et notes par ga, gb, ainsi 
que pour chacune de leurs combinaisons multiplicatives ga.gb, soit en 
tout 2-1 nombres representes de fa?on generique par g, les deux equations 
x = g (mod n) et x = -g (mod n) n'ont pas de solution en x dans l'anneau 
des entiers modulo n. On dit alors que les nombres g et -g sont deux residus 
non quadratiques modulo n. 

Note. « Petit » signifie plus petit que le plus petit des facteurs premiers. De 
preference, les nombres de base sont les / premiers nombres premiers ga = 
2, gb = 3, ... 

Les plus simples des nombres GQ2 sont les nombres de Williams avec un 
seul nombre de base ga = 2 et deux facteurs premiers, l'un congru a 3 (mod 
8) et r autre a 7 (mod 8). 

Rappelons que pour chaque nombre g qui n'est pas un carre, chaque 
nombre premier congru a 3 (mod 4) et plus grand que g se classe dans l'une 
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des deux categories suivantes : 

- la categorie oil g est un residu non quadratique (et done -g un 
residu quadratique), 

- la categorie ou — g est un residu non quadratique (et done g un 
r6sidu quadratique). 

Definition. Deux facteurs premiers sont equivalents ou complementaires 
au regard d'un nombre g selon qu'ils appartiennent ou pas k la meme 
categorie au regard du nombre g. 

Definition. Au regard de chaque nombre g, le profil de j facteurs est defini 
par une sequence de / bits en attribuant le symbole 1 au premier facteur 
ainsi que k tous les facteurs qui lui sont equivalents, c'est-&-dire qui ont le 
meme symbole de Legendre, et le symbole 0 k tous les facteurs qui lui sont 
complementaires, e'est-a-dire, qui ont l'autre symbole de Legendre. 
Pour obtenir le profil au regard du produit de plusieurs nombres de base ga, 
gb y on calcule le produit des symboles de Legendre, puis, on code le 
profil resultant en attribuant le symbole 1 au premier facteur ainsi que k 
tous les facteurs qui lui sont equivalents, e'est-k-dire, qui ont le meme 
symbole de Legendre, et le symbole 0 a tous les facteurs complementaires, 
e'est-a-dire, qui ont F autre symbole de Legendre. 

Pour pouvoir comparer des profils, il faut ranger les facteurs dans le meme 
ordre, par exemple, dans Tordre croissant. 

3.2.1. Methode systematique de construction des nombres GQ2 

Voyons comment construire les nombres GQ2 de maniere systematique, de 
fagon a pouvoir integrer simplement la methode de construction dans un 
generateur de modules n. 

Le premier facteur dolt simplement etre congru k 3 (mod 4). On notera 
toutefois son symbole de Legendre par rapport aux / nombres de base get, 

gb,... 

Le deuxieme facteur doit etre complementaire au regard du premier nombre 



de base ga. Par exemple, lorsque ga = 2, un facteur doit §tre congru a 3 
(mod 8) et 1' autre k 7 (mod 8) : c'est un nombre de Williams. Par exemple 
encore, lorsque ga = 3, un facteur doit etre congru a 1 (mod 3) et T autre a 2 
(mod 3), sachant qu'ils sont bien sur tous deux congrus £ 3 (mod 4). On 
notera egalement le symbole de Legendre du deuxi&me facteur par rapport 
aux / nombres de base ga, gb, ... et on commencera a etablir les 2-1 
profils. 

Le troisi&me facteur doit prendre en compte le deuxfeme nombre de base gb 
(par exemple, gb = 3 apres ga = 2). Deux cas se presentent, selon que les 
deux premiers facteurs premiers sont equivalents ou compl6mentaires au 
regard du nombre gb. 

- Lorsque les deux premiers facteurs premiers sont equivalents au 
regard du nombre gb, le nouveau facteur doit etre 
complementaire au regard du nombre gb. 

S'ils sont complementaires, alors par rapport au premier facteur, 
le nouveau facteur doit 6tre equivalent au regard de Tun des deux 
nombres ga ou gb et complementaire au regard de 1' autre. 
On notera encore le symbole de Legendre du troisieme facteur par rapport 
aux / nombres de base ga, gb, ... et on commencera a etablir les 2—1 
profils. Ainsi, avec trois facteurs, pour les deux nombres de base, il y a trois 
profils possibles : 100, 110 et 101. La construction assure un profil different 
pour chacun des trois nombres ga, gb et ga fois gb. 

Le quatrieme facteur doit prendre en compte le troisieme nombre de base 
gc (par exemple, gc = 5 aprfes gb = 3 et ga = 2). Deux cas se pr6sentent, 
selon que les trois premiers facteurs sont equivalents ou pas au regard du 
nombre gc. 

- Lorsque les trois premiers facteurs premiers sont equivalents au 
regard du nombre gc, le nouveau facteur doit etre 
complementaire au regard du nombre gc. 



- S'ils ne sont pas equivalents, ils reproduisent le profil de Tun des 
trois nombres ga, gb ou ga fois gb (par exemple, 2, 3 ou 6), soit g 
ce nombre. Par rapport au premier facteur, le nouveau facteur 
doit §tre Equivalent au regard de Tun des deux nombres g ou gc 
et complementaire au regard de 1' autre. 

On notera encore le symbole de Legendre du quatrieme facteur par rapport 
aux / nombres de base ga, gb, ... et on continuera a etablir les 2-1 profils. 
Ainsi, avec quatre facteurs premiers, pour trois nombres de base, il y a sept 
profils possibles: 1000, 1100, 1010, 1001, 1110, 1101 et 1011. La 
construction assure un profil different pour chacun des sept nombres 
suivants : les trois nombres de base : ga, gb, gc et leurs quatre 
combinaisons multiplicatives ga.gb, ga.gc, gb.gc et ga.gb.gc. 
Ensuite, la procedure se generalise aisement de la maniere suivante. 
Lorsque j facteurs sont d6ja construits, le j+1 ieme facteur doit prendre en 
compte un j ieme nombre de base ; appelons g ' ce nombre, par exemple, le 
j ieme nombre premier apres les j-\ premiers nombres premiers. Deux cas 
se pr6sentent, selon que les j premiers facteurs sont equivalents ou pas au 
regard du nombre g\ 

- Lorsque les j premiers facteurs premiers sont equivalents au 
regard du nombre g', le nouveau facteur doit etre complementaire 
au regard du nombre g\ 

- S'ils ne sont pas equivalents, ils reproduisent le profil de Tun des 
y-1 nombres ga, gb, ... ou de Tune de leurs combinaisons 
multiplicatives ga fois gb, ... ; appelons g ce nombre. Par rapport 
au premier facteur, le nouveau facteur doit etre equivalent au 
regard de Tun des deux nombres g ou g' et compl6mentaire au 
regard de T autre. 

On notera encore le symbole de Legendre du 7+1 ieme facteur par rapport 
aux / nombres de base ga, gb, ... et on continuera a etablir les 2-1 profils. 



3.2.2. Utilisation cryptographique des nombres GQ2 

Voici deux motifs d'int^ret cryptographique pour les nombres GQ2. 

- Produire des paires de cles pour des schemas de signature 
numerique qui etendent l'usage de Texposant 2 a des modules n 
ay ant plus de deux facteurs premiers. 

- Produire des jeux de cles pour des sch6mas GQ2 
d' authentication dynamique ou de signature numerique. 

3.2.2.1 Dans 1' annexe A de ISO/CEI 9796, extension de l'usage des 
exposants pairs a des modules ayant plus de deux facteurs premiers, 
chaque facteur etant congru a 3 (mod 4). 

=> Pour 6viter de divulguer la factorisation du module n en appliquant la 
fonction privee de signature a un argument, c'est-a-dire, en calculant une 
racine carree (mod n), il faut 6galiser les symboles de Legendre de 
T argument par rapport a l'ensemble des facteurs premiers du module n. 
Cette egalisation se fait en divisant par un « egaliseur » approprte. A la 
verification, il faut decoder le resultat, c'est-a-dire, deduire la valeur de 
T egaliseur mis en ceuvre a la signature. 

II faut d'abord choisir et normaliser un ou plusieurs petits nombres. Ces 
nombres sont de preference les / premiers nombres premiers. Nous les 
nommerons les egaliseurs de base et les noterons par ga, gb ... Les / 
egaliseurs de base completes par leurs combinaisons multiplicatives, soit 
2-1 nombres en tout, constituent T ensemble des egaliseurs. Voyons 
comment utiliser les egaliseurs. 

• Deux facteurs — On choisit d'abord un egaliseur de base ga (par 
exemple, ga = 2 ; on pourrait aussi bien prendre 3, 5 ou 7 ...). Puis, on 
choisit deux facteurs premiers complementaires au regard de T egaliseur 
ga (par exemple, lorsque ga = 2, un facteur est congru a 3 (mod 8) et 
T autre a 7 (mod 8)). Lorsqu'un argument est soumis & la fonction privee 
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de signature, on calcule le symbole de Jacobi de T argument par rapport 
au module n. S'il vaut +1, on garde Pargument tel quel. S'il vaut -1, on 
remplace Pargument par Pargument divise par Pegaliseur ga pour 
mettre le symbole de Jacobi k +1 ; suite k cette operation, le symbole de 
Jacobi de Pargument vaut +1, c'est-a-dire que les symboles de Legendre 
de T argument sont alors tous les deux 6gaux a -1 ou bien tous les deux 
6gaux a +1. Cette methode figure dans P annexe A de la norme ISO/CEI 
9796. 

Trois facteurs — On choisit d'abord deux egaliseurs de base, par 
exemple, ga = 2etgb = 3. Puis, on choisit les trois facteurs premiers de 
sorte que ga = 2, gb = 3 et ga.gb = 6 soient tous les trois des r6sidus non 
quadratiques (mod ri). Lorsque les trois symboles de Legendre de 
Pargument sont inegaux, on les egalise en divisant T argument selon le 
cas par ga = 2, gb = 3 ou ga.gb = 6, c'est-a-dire, par Tegaliseur qui 
presente le meme profil que 1' argument. 

Quatre facteurs — On choisit d'abord trois egaliseurs de base, par 
exemple, ga = 2, gb = 3 et gc = 5. Puis, on choisit les quatre facteurs 
premiers de sorte que les sept nombres 2, 3, 5, 6, 10, 15 et 30 soient des 
residus non quadratiques (mod n). Lorsque les quatre symboles de 
Legendre de P argument sont inegaux, on les egalise en divisant 
Pargument par Pegaliseur approprie : 2, 3, 5, 6, 10, 15 ou 30, c'est-a- 
dire, celui qui presente le meme profil que Pargument. 
Cinq facteurs — On choisit d'abord quatre egaliseurs de base, par 
exemple, ga = 2, gb = 3, gc = 5 et gd = 7. Puis, on choisit les cinq 
facteurs premiers de sorte que les quinze nombres 2, 3, 5, 6, 7, 10, 14, 
15, 21, 30, 35, 42, 70, 105, 210 soient des residus non quadratiques 
(mod n). Lorsque les symboles de Pargument sont inegaux, on les 
6galise en divisant Pargument par Pegaliseur approprie : 2, 3, 5, 6, 7, 
10, 14, 15, 21, 30, 35, 42, 70, 105, 210, c'est-a-dire celui qui a le meme 
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profil que 1' argument. 

• Et ainsi de suite. 

3.2.2.2. GQ2 - Le module est le produit de facteurs premiers congrus 
a 3 (mod 4). 

La propriety a assurer est que toute paire de triplets GQ2 en tenaille 
r6vfcle une factorisation non triviale du module. 

II faut d'abord choisir un ou plusieurs petits nombres. Ce sont de preference 
les / premiers nombres premiers. Nous les appellerons les racines triviales 
de base et les noterons par ga, gb, gc ... Les / racines triviales de base 
completees par leurs combinaisons multiplicatives, soit, en tout, 2-1 
nombres, constituent 1' ensemble des racines triviales. 

• Deux facteurs — II faut d'abord selectionner une seule racine triviale de 
base ga (par exemple, ga = 2 ; on pourrait aussi bien prendre 3, 5 ou 7 
...). II faut ensuite choisir les deux facteurs de sorte que la racine triviale 
ga soit un residu non quadratique (mod n) 9 c'est-a-dire que les facteurs 
soient « complementaires » au regard de la racine triviale ga. 

• Trois facteurs — II faut d'abord selectionner deux racines triviales de 
base, par exemple, ga = 2 et gb = 3. II faut ensuite choisir les trois 
facteurs de sorte que les trois (2 puissance 2 moins 1) racines triviales 
ga gb et ga.gb, par exemple, 2, 3 et 6, soient des residus non 
quadratiques (mod n). 

• Quatre facteurs — II faut d'abord selectionner trois racines triviales de 
base, par exemple, ga = 2, gb = 3 et gc = 5. II faut choisir ensuite les 
quatre facteurs premiers de sorte que les nombres 2, 3 et 5, ainsi que 
leurs combinaisons multiplicatives, c'est-a-dire, 6, 10, 15 et 30, soient 
tous les sept (2 puissance 3 moins 1) des residus non quadratiques (mod 
n). Ces sept nombres sont les racines triviales. 

• Cinq facteurs — II faut d'abord selectionner quatre racines triviales de 
base, par exemple, ga = 2, gb = 3, gc = 5 et gd = 7. II faut choisir 
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ensuite les cinq facteurs premiers de sorte que les nombres 2, 3, 5 et 7, 
ainsi que leurs combinaisons multiplicatives, c'est-a-dire, 6, 10, 14, 15, 
21, 30, 35, 42, 70, 105 et 210, soient tous les quinze (2 puissance 4 
moins 1) des residus non quadratiques (mod n). Ces quinze nombres 
sont les racines triviales. 
• Et ainsi de suite. 

Dans les mdcanismes GQ2 d'authentification dynamique et de signature 
numerique, toute paire de triplets GQ2 en tenaille rev&le une des k valeurs 
{Q> Q 2 j Q 4 y jusqu'au k~l ifeme carr6 de Q (mod n)} oil Q est une des 2'~ ! 
combinaisons multiplicatives des / cles privees de base QA 9 QB^ ... Ceci 
revient £ connaitre le k-l ieme carre d'un nombre Q (mod n) ; ce nombre 
ou son inverse (mod n) est une racine carree (mod ri) de la combinaison 
correspondante des cles publiques, combinaison que nous notons par G = 
g 2 . Nommons q ce nombre. 

La mise en ceuvre de nombres GQ2, c'est-a-dire, de modules n construits 
selon la methode precedentes a partir de /+1 facteurs premiers et de / 
racines de base ga gb assurent que, pour toute paire de triplets en 
tenaille, le nombre q obtenu ci-dessus est une racine carree non triviale de 
G = g dans l'anneau des entiers modulo n. Le module n divise q 2 -g 2 , alors 
qu'il ne divise ni q—g ni q+g. Ainsi, avec des nombres GQ2, toute paire de 
triplets GQ2 en tenaille revele une factorisation non triviale du module n. 
Sur Fensemble des paires de triplets en tenaille, toutes les factorisations 
non triviales sont possibles : la factorisation est determinee par le profil du 
nombre g concerne : d'une cote, tous les facteurs premiers equivalents au 
premier facteur premier, de Tautre tous les autres facteurs premiers, c'est-a- 
dire, ceux qui sont complementaires au premier facteur premier. 
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4. Securite du nouveau procede 

D'une maniere generate, la security des protocoles « sans transfert de 
connaissance » s'analyse selon trois notions de base definies dans l'article 
de base de Shafi Goldwasser, Silvio Micali et Charles Rackoff. 
Dans le cas qui nous interesse, une entite proclame : « — Void un module 
n, un exposant de verification v et une cle publique G ; j' utilise la 
factorisation de n et je connais la cle privee Q. » 

Par definition, lorsque l'entite connait les facteurs premiers, c'est un 
t6moin. A chaque appel, le temoin produit de maniere privee un triplet que 
le contrdleur accepte. Par consequent, la procedure est comp lete 
Par definition, lorsque l'entite ne connait pas les facteurs premiers, c'est un 
tricheur. A chaque appel, le tricheur a une chance sur v de deviner le defi d 
(si les v defis sont equiprobables) ; il peut done anticiper un defi, n'importe 
lequel, et ainsi tromper le contrdleur ; s'il pouvait anticiper un deuxieme 
defi apres avoir produit l'engagement, il connaitrait une paire de triplets en 
tenaille, ce qui contredit la definition du tricheur. Par consequent, la 
procedure est robuste . 

Note. La presente version fait fi du symbole de Jacobi ; le prix a payer est 
la perte d'un bit de defi par paire de cles selon la presente invention. Le 
procede ne marche pas pour k = 1 ; le tricheur a une strategic gagnante 
totale. A partir de k = 2, le tricheur n'a plus qu'une strategic gagnante 
partielle : il peut anticiper deux defis mais pas trois. 

Quelle que soit la maniere dont se comporte le monde exterieur, il recoit 
seulement 1' information que le temoin connait les facteurs premiers. Plus 
precisement, quelle que soit 1'information emise par le temoin, n'importe 
qui aurait pu la constituer sans interaction avec le temoin ; n'importe qui 
peut simuler les transmissions et produire un enregistrement qui reproduit 
les caracteristiques statistiques des informations recueillies lors d'une 
interaction avec le temoin. Durant l'interaction, un observateur ne peut pas 




distinguer un honnete temoin d'un faux temoin utilisant une liste de defis 
convenue a l'avance. Apres 1'interaction, un juge ne peut pas distinguer les 
deux types d'enregistrements. En effet, on ne peut pas distinguer un 
enregistrement de triplets produits de mani&re publique et un 
enregistrement de triplets produits de maniere priv6e. Par consequent, ]a 
procedur e utilisee par le temoin ne laisse filtrer aucune information sur la 
valeur des facteurs premiers . 

L'entite qui prouve pilote toujours le meme temoin fonctionnant toujours de 
la mSme maniere : le temoin utilise les facteurs premiers et la cle priv6e Q 
sans les reveler ; le temoin assure la protection des facteurs premiers et de 
la cle priv6e £). Le controleur verifie la cle privee Q sans en prendre 
connaissance. La procedure se deroule « sans transfert de connaissance ». 
Certaines paires de cles selon la presente invention sont telles que la 
connaissance de la cle privee Q implique la connaissance de la factorisation 
du module n. Avec le nouveau precede, la factorisation et la cle privee Q ne 
s'usent pas, meme quand on s'en sert. 
5. Performances du nouveau procede avec v = 2* 

Dans cette evaluation, on fait l'hypothese que la valeui de G est petite, par 
exemple, G - 4. La charge de travail du temoin et la charge de travail du 
controleur dependent du niveau de securite recherche, c'est-&-dire du 
produit de deux nombres : le nombre j de triplets produits a chaque appel au 
temoin et la valeur donnee au parametre de securite k moins un (en effet, on 
perd un bit de defi en laissant tomber le symbole de Jacobi). 
Pour une authentification avec j. (fc-1) = 16 avec j = 1, 

le temoin doit effectuer 17 carres pour calculer F engagement R y puis, en 

moyenne 16 carres et 8 multiplications plus une multiplication pour 

calculer la reponse Z>, soit 41 operations (mod n) ; 

cette charge est divisee par deux avec deux facteurs premiers, soit 20 

operations (mod n) ; . 
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cette charge est divisee par trois avec trois facteurs premiers, soit 
environ 14 operations (mod n) ; 

et ainsi de suite, 
le controleur doit effectuer 17 carres (mod n). 
Pour une signature avec j.(k—l) = 80 avec j = 1, 
le temoin doit effectuer 81 carres pour calculer Y engagement R 9 puis, en 
moyenne 80 carres et 40 multiplications plus une multiplication pour 
calculer la reponse D, soit 202 operations (mod n) ; 

cette charge est divisee par deux avec deux facteurs premiers, soit 100 
operations (mod n) ; 

cette charge est divisee par trois avec trois facteurs premiers, soit 67 
operations (mod n) ; 

et ainsi de suite, 
le controleur doit effectuer 81 carres (mod n). 
Remarque. Pour une valeur donnee du niveau de securite j.k 9 le choix j = 
1 ne change pratiquement pas la charge de travail du temoin, ni celle du 
controleur ; elle minimise toutefois le nombre de triplets produits, c'est-a- 
dire, la charge de transmission pour mener a bien F operation, que cette 
operation soit une authentification ou une signature. 

Utilisons plusieurs paires de cles selon la presente invention, toutes avec le 
meme exposant public de verification v. Cela fait apparaitre un niveau de 
securite j.(k-l)J ou / est le nombre de paires de cles selon la presente 
invention. Le fait d'utiliser plusieurs paires de cles selon la presente 
invention diminue la charge de travail du temoin, ainsi que la charge de 
travail du controleur. 

Dans le tableau ci-dessous, M represente une multiplication (mod ri) et X 
un carre (mod n). Rappelons que sur le composant ST 16601 pour carte a 
puce, avec une horloge normalisee a 3,579545 MHz, le carre modulo pour 
512 bits se fait en 150 ms et la multiplication modulo en 200 ms. 
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(k-l).l= 16 


1=1 


1 = 2 


1 = 4 


/ = 8 


/= 16 


Engagement 


17 X 


9X 


5X 


3X 


2X 


R6ponse 


1 M + 


1 M + 


1M + 4X+ 


1 M + 


1 M + 




16 X + 


8X + 


8M 


2X + 


1 X + 




8M 


8X 




8M 


8M 


Total du 


33 X + 


17X + 


9X + 


5 X + 


3X + 


temoin 


9M 


9M 


9M 


9M 


9M 


Trois 


11 X + 


6X + 


3X + 


2 X + 


1 X + 


facteurs 


3M 


3 M 


3M 


3M 


3M 


Verification 


17 X 


9X 


5X 


3X 


2X 



Le compromis pour / = 4 est txbs attrayant parce que, compte tenu des restes 
chinois avec un module a trois facteurs premiers, le terminal et la carte ont 
a peu pres la meme charge de travail. II est preconise d'utiliser les cles 

publiques GA - 4, GB = 9, GC = 25, GD = 49. 
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Revendications 

1. Precede pour diminuer la charge de travail pendant une session 
destinee a prouver a un contrdleur, 

- 1' authenticite d'une entity et/ou 

- Torigine et T integrity d'un message m, 
ledit procede met en ceuvre trois entites : 

- une premiere entite appelee temoin dispose des facteurs premiers 
Pi> P 2 > — (Pi> •••) 0 etant superieur ou egal a 2) d'un module public n tel 
que n = p,.p 2 . p 3 

ledit temoin dispose aussi 

* des composantes QA„ QA 2 , ... (QA., ...), et QB„ QB 2 , ... (QB., 
. ..), .... representant des cles privees QA, QB, ... 

* des cles publiques GA, GB, ... ayant respectivement pour 
composantes GA,, GA 2 , ... (GA., ...) et GB,, GB 2 , ... (GB., ...) 

* des exposants publics de verification vx, vy, ... 

lesdites cles privees et cles publiques etant liees par des relations du type : 

GA.QA" mod n = 1 ou GA s QA v "mod n 
lesdits exposants publics de verification vx, vy, ... etant utilises par le 
temoin pour calculer des engagements R en effectuant des operations du 
type : 

R. = r ™ mod p. 

ou r. est un entier, associe au nombre premier p., tel que 0 < r. < p. , chaque 
r. appartenant a une collection d'aleas {r p r 2 , r 3 , ...}, 

le temoin tire au hasard une ou plusieurs collections d'aleas de telle sorte 
que, pour chaque exposant public de verification v, il y a autant 
d' engagements R que de collections d'aleas {r p r 2 , r 3 , ... }, 

- une deuxieme entite pilote dudit temoin 

* appelee demonstrates dans le cas de la preuye de 1' authenticite 
d'une entite ou de 1' authenticite d'un message, 
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* appelee signataire dans les cas de la preuve de Torigine et de 
Tintegrite d'un message, 

- une troisieme entit6 appelee contrSleur verifie Tauthentification ou 
Torigine et Tint6grit6 d'un message, 

ledit t6moin re^oit de la deuxi&me entite ou du contr61eur un ou plusieurs 
defis d tel que 0 < d < vx - 1 et calcule a partir de ce d6fi une ou plusieurs 
reponses D en effectuant des operations du type : 

D. = r. . QA, dA . QB. dB . ... mod p. 
oh r. est un al6a tel que 0 < r, < p x 

de sorte que le nombre d'operations arithmetiques modulo p, a effectuer 
pour calculer chacune des reponses D, pour chacun des p, est r6duit par 
rapport a ce qu'il serait si les operations etaient effectuees modulo n, 
ledit controleur recevant une ou plusieurs reponses D calcule k partir 
desdites reponses des engagements R' en effectuant des operations du 
type : 

R'= GA dA . GB dB . ...D v modn 

ou du type : 

R'.GA d \GB dB . ...= D v modn 
ledit controleur verifie que les triplets {R% d, D} sont coherents. 

2. Precede pour diminuer la charge de travail pendant une session 
destinee a prouver a un contrdleur, 

- T authenticity d'une entit6 et/ou 

- Torigine et Tintegrite d'un message m, 
ledit precede met en ceuvre trois entites : 

- une premiere entite appelee temoin dispose des facteurs premiers 
Pi> P 2 5 (Pi> • *•) (i etant superieur ou egal a 2) d'un module public n tel 
que n = p r p 2 . p 3 

ledit temoin dispose aussi 

* des composantes QA„ QA 2 , ... (QA, ...), et QB t , QB 2 , ... (QB i5 




107 



...), repnSsentant des c!6s privees QA, QB, ... 

* des cles publiques GA, GB, ... ayant respectivement pour 
composantes GA,, GA 2 , ... (GA,, ...) et GB,, GB 2 , ... (GB,, ...) 

* d'un exposant public de verification v 

lesdites paires de cles privees et publiques etant liees par des relations du 
type : 

GA.QA* mod n s 1 ou GA e QA v mod n 

ledit exposant public de verification v etant utilise par le temoin pour 
calculer des engagements R, 

• en effectuant des operations du type : 

R, = r," mod p. 

ou r, est un entier, tire au hasard, associe au nombre premier p., tel que 0 < 
r. < p. , chaque r. appartenant a une collection d'aleas {r„ r 2 , r 3 , ...}, 

• puis en appliquant la methode des restes chinois, 

le temoin tire au hasard une ou plusieurs collections d'aleas de telle sorte 
qu'il y a autant d'engagements R que de collections d'aleas {r,, r 2 , r 3 , . .. }, 
de sorte que le nombre d' operations arithmetiques modulo p, a effectuer 
pour calculer chacun des R, pour chacun des p, est reduit par rapport a ce 
qu'il serait si les operations etaient effectuees modulo n, 

- une deuxieme entite pilote dudit temoin, 

* appelee demonstrateur dans le cas de la preuve de l'authenticit6 
d'une entite" ou de l'authenticite d'un message, 

* appelee signataire dans les cas de la preuve de l'origine et de 
l'integrite d'un message, 

- une troisieme entite appelee contrdleur venfie 1'authentification ou 
l'origine et l'integrite d'un message, 

ledit temoin recoit de la deuxieme entite ou du contrdleur, des collections 
de defis d {dA, dB, ...} tels que 0 < dA < v - 1, le nombre des collections 
de defis d etant e g al au nombre d'engagements R, chaque collection {dA, 
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dB, ...} comprenant un nombre de d6fis egal au nombre de paires de cles, 
ledit temoin calcule a partir de chacune desdites collections de defis {dA, 
dB, ...} des reponses D 

• en effectuant des operations du type : 

D. = r.. QA. . QB. ** . mod p. 

• puis en appliquant la methode des restes chinois, 

de telle sorte qu'il y a autant de r6ponses D que d'engagements R et de 
d6fis d, 

de sorte que le nombre d' operations arithmetiques modulo p. k effectuer 
pour calculer chacun des D, pour chacun des p. est reduit par rapport k ce 
qu'il serait si les operations etaient effectuees modulo n 
ledit controleur recevant une reponse D calcule a partir de cette reponse un 
engagement R' en effectuant des operations du type : 

R'= GA d \ GB 1,8 • ...D v modn 

ou du type : 

R' . GA dA . GB dB . *..= D V mod n 

ledit controleur verifie que les triplets {R% d, D} sont coherents. 

3. Procede selon la revendication 2 pour diminuer la charge de 
travail pendant une session destinee a prouver a un controleur Tauthenticite 
d'une entite ; 

ledit procede met en oeuvre trois entites : 

1 - une premiere entite appelee temoin dispose des facteurs premiers 

P 2 > ••• (Pi5 •••) (i &ant superieur ou egal a 2) d'un module public n tel 
que n = p,.p 2 . p 3 

ledit temoin dispose aussi 

* des composantes QA,, QA 2 , ... (QA,, ...), et QB„ QB 2 , ... (QB., 
...), representant des cles privies QA, QB, ... 

* des cles publiques GA, GB, ... ayant respectivement pour 
composantes GA,, GA 2 , ... (GA., ...) et GB,, GB 2 , ... (GB., ...) 
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• d'un exposant public de verification v 

lesdites paires de cles privees et publiques etant liees par des relations du 
type : 

GA.QA V mod n = 1 ou GA = QA V mod n 

2 - une deuxieme entity pilote dudit temoin appelee demonstrateur 

3 - une troisieme entite appelee contrSleur verifie rauthentification, 
pour prouver F authenticity d'une entite, ledit temoin, ledit demonstrateur 
et ledit contrdleur executent les etapes suivantes : 

• etape 1. engagement R du temoin : 

- a chaque appel, le temoin tire au hasard et en priv6 au moins une 
collection de nombres entiers {r l5 r 2 , r 3 , ...},telle que, pour chaque facteur 
premier p., chaque collection comporte un alea r. positif et plus petit que p. , 

- pour chaqtie facteur premier p. , le temoin eleve chaque alea r, a la 
puissance v ifeme modulo p. 

R. = r. v mod p. 

de sorte que le nombre d' operations arithmetiques modulo p u a effectuer 
pour calculer chacun des R pour chacun des p. est reduit par rapport a ce 
qu'il serait si les operations etaient effectuees modulo n, 

- puis, le temoin etablit chaque engagement R modulo n selon la methode 
des restes chinois, 

de telle sorte qu'il y a autant d' engagements R que de collections d'aleas 

• etape 2, defi d destine au temoin : 

- le demonstrateur transmet tout ou partie de chaque engagement R au 
controleur, 

- le controleur, apres avoir re?u tout ou partie de chaque engagement R, 
produit au moins une collection de defis d {dA, dB, ...} tels que 0 < dA < v 

- 1, le nombre des collections de defis d etant egal au nombre 
d' engagements R, chaque collection {dA, dB, ...} comprenant un nombre 
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de defis 6gal au nombre de paires de cles, 

• etape 3. reponse du temoin au defi d : 

- ledit t6moin calcule des reponses D a partir desdites collections de d6fis d 
{dA, dB, e..} refues du contrdleur 

en effectuant des operations du type : 

D, = r, . QA, . QB, . ... mod p ( 
de sorte que le nombre d' operations arithmetiques modulo p ( k effectuer 
pour calculer chacun des D. pour chacun des p, est r6duit par rapport k ce 
qu'il serait si les operations etaient effectives modulo n, 
puis en appliquant la m6thode des restes chinois, 

de telle sorte qu'il y a autant de rSponses D calculees par le temoin que 
d' engagements R et de defis d, 

• etape 4. donnees destinees au contrdleur : 

- le d6monstrateur transmet au contr61eur chaque reponse D, 

• etape 5. verification par le contrdleur : 

ledit contrdleur calcule k partir de chaque reponse D un engagement R' en 
effectuant des operations du type : 

R'= GA dA .GB d \ ,,.D V modn 

ou du type : 

R'.GA^.GB**. ..,= D V modn 

ledit contrdleur verifie que chaque engagement reconstruit R' reproduit tout 
ou partie de chaque engagement R transmis a l'6tape 2 par le 
demonstrates. 

4. Proc^de selon la revendication 2 pour diminuer la charge de 
travail pendant une session destinee k prouver a un contrdleur Tauthenticite 
d'un message m, 

ledit proc6de met en oeuvre trois entites : 

1 - une premiere entite appelee temoin dispose des facteurs premiers 
P,> P 2 y (Pi 9 •••) (i etant superieur ou egal a 2) d'un module public n tel 
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que n = p,. Pl . p 3 . ... , 
ledit temoin dispose aussi 

* des composantes QA„ QA 2 , ... (QA, ,...), et QB„ QB 2 , ... (QB, , 
...),..., representant des cles privees QA, QB, ... 

* des cles publiques GA, GB, ... ayant respectivement pour 
composantes GA,, GA,, ... (GA, ...) et GB,, GB 2 , ... (GB,, ...) 

* d'un exposant public de verification v 

lesdites paires de cles priv6es et publiques 6tant liees par des relations du 
type: 

GA.QA" mod n = 1 ou GA = QA T mod n 

2 - une deuxieme entite pilote dudit temoin appelee demonstrateur, 

3 - une troisieme entity appelee controleur verifie l'authenufication, 
pour prouver l'authenticite d'un message ledit temoin, ledit demonstrateur 
et ledit contr61eur executent les Stapes suivantes : 

• 6tape 1. engagement R du temoin : 

- a chaque appel, le t6moin tire au hasard et en priv6 au moins une 
collection de nombres entiers {r„ r 2 , r 3 , ...},telle que pour chaque facteur 
premier, p., chaque collection comporte un alea r.positif et plus petit que p. , 

- pour chaque facteur premier p. , le temoin eleve chaque alea r, a la 
puissance v ieme modulo p. 

R s r. v mod p, 

de sorte que le nombre d'op6rations arithmetiques modulo p. a effectuer 
pour calculer chacun des R pour chacun des p, est reduit par rapport a ce 
qu'il serait si les op6rations etaient effectuees modulo n, 

- puis, le temoin etablit chaque engagement R modulo n seloh la m6thode 
des restes chinois, ^ 

de telle sorte qu'il y a autant d'engagements R que de collections d'al6as 
{'"i* i" 3 , ...}, 

• etape 2. defi d destine au temoin : 
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- le demonstrateur applique une fonction de hachage f ayant comme 
arguments le message m et chaque engagement R pour un jeton T, 

- le demonstrateur transmet le jeton T au contrdleur, 

- le controleur, apres avoir re9u le jeton T, produit au moins une collection 
de defis d {dA, dB, ...} tels que 0 < dA < v - 1, le nombre des collections 
de defis d etant egal au nombre d' engagements R, chaque collection {dA, 
dB, ...} comprenant un nombre de defis egal au nombre de paires de cles, 

• etape 3. reponse du temoin au defi d : 

- ledit temoin calcule des reponses D a partir desdites collections de defis d 
{dA, dB, ...} revues du controleur 

en effectuant des operations du type : 

D. = r, . QA. dA . QB. dB . ... mod Pi 
puis en appliquant la methode des restes chinois, 

de sorte que le nombre d'operations arithmetiques modulo p. a effectuer 
pour calculer chacun des D. pour chacun des p. est reduit par rapport a ce 
qu'il serait si les operations etaient effectuees modulo n, 
de telle sorte qu'il y a autant de reponses D calculees par le temoin que 
d'engagements R et de defis d> 

• etape 4. donnees destinees au controleur : 

- le demonstrateur transmet au controleur chaque reponse D, 

• etape 5. verification par le controleur : 

ledit controleur calcule a partir de chaque reponse D un engagement R' en 
effectuant des operations du type : 

R'= GA dA . GB 418 . ...D v modn 

ou du type : 

R\ GANGS'*. ...= D V modn 
ledit controleur applique la fonction de hachage f ayant comme arguments 
le message m et chaque engagement reconstruit R* pour reconstruire le 
jeton T% 
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ledit controleur verifie que le jeton T* est identique au jeton T transmis a 
l'etape 2 par le demonstrateur. 

5. Proced6 selon la revendication 2 pour diminuer la charge de 
travail pendant une session destinee a prouver a un contrSleur la signature 
numerique d'un message m, 
ledit proc6d6 met en oeuvre trois entites : 

1 - une premiere entite appelee temoin dispose des facteurs premiers 
Pi» P 2 » ••• (Pi> ••■) (i etant superieur ou egal a 2) d'un module public n tel 
que n = p,.p 2 . p 3 . ... , 

ledit t6moin dispose aussi 

* des composantes QA„ QA 2 , ... (QA., ...), et QB„ QB 2 , ... (QB,, 
...), representant des cles privees QA, QB, ... 

* des cles publiques GA, GB, ... ayant respectivement pour 
composantes GA„ GA 2 , ... (GA,, ...) et GB„ GB 2 , ... (GB., ...) 

* d'un exposant public de v6rification v 

lesdites paires de cles privees et publiques etant liees par des relations du 
type : 

GA.QA Y mod n = 1 ou GA = QA y mod n 

2 - une deuxieme entite pilote dudit temoin appelee signataire, 

3 - une troisieme entit6 appelee contrdleur verifie rauthentification, 
pour prouver la signature d'un message ledit temoin, ledit demonstrateur et 
ledit controleur executent les etapes suivantes : 

• etape 1. engagement R du temoin : 

- a chaque appel, le temoin tire au hasard et en prive au moins une 
collection de nombres entiers {r„ r 2 , r 3 , ...},telle que, pour chaque facteur 
premier p., chaque collection comporte un al6a r,positif et plus petit que p, , 

- pour chaque facteur premier p. , le temoin eleve chaque alea r. a la 
puissance v ieme modulo p ; 

R. = r. v mod p. 
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de sorte que le nombre cT operations arithmetiques modulo p u a effectuer 
pour calculer chacun des R pour chacun des p. est reduit par rapport a ce 
qu'il serai t si les operations etaient effectuees modulo n, 

- puis, le temoin etablit chaque engagement R modulo n selon la methode 
des restes chinois, 

de telle sorte qu'il y a autant d'engagements R que de collections d'aleas 

• etape 2. defi d destine au temoin : 

- le signataire applique une fonction de hachage f ayant comme arguments 
le message m et chaque engagement R pour obtenir au moins une 
collection de d6fis d {dA, dB, ...} tels que 0 < dA < v - 1, le nombre des 
collections de defis d etant egal au nombre d'engagements R, chaque 
collection {dA, dB, ...} comprenant un nombre de defis egal au nombre de 
paires de cles, 

- le signataire transmet les collections de defis d au temoin, 

• etape 3. reponse du temoin au defi d : 

- ledit temoin calcule des reponses D a partir desdites collections de defis d 
{dA, dB, ...} re?ues du controleur 

en effectuant des operations du type : 

D, = r. . QA. dA . QB. dB . ... mod p, 
puis en appliquant la methode des restes chinois, 

de sorte que le nombre d' operations arithmetiques modulo p. a effectuer 
pour calculer chacun des D. pour chacun des p. est reduit par rapport a ce 
qu'il serait si les operations etaient effectuees modulo n, 
de telle sorte qu'il y a autant de reponses D calculees par le temoin que 
d'engagements R et de defis d, 

- ledit temoin transmet les reponses D au signataire et/ou au controleur, 

• etape 4. donnees destinees au controleur : 

- le signataire transmet un message signe au controleur comprenant : 
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/ le message m, 

/ les collections de defis d ou les engagements R, 
/ chaque reponse D 

• etape 5. verification par le contrdieur : 
cas ou le contrdieur recoit la collection des defis d, 

dans le cas ou le contrdieur recoit la collection des defis d et des reponses 
D, ledit contrdieur calcule a partir de chaque reponse D un engagement R' 
en effectuant des op6rations du type : 

R'=GA dA .GB dB . ...D v modn 

ou du type : 

R' • GA dA . GB dB . .. . = D" mod n 

ledit contrdieur applique la fonction de hachage f ayant comme arguments 
le message m et chaque engagement reconstruit R' pour reconstruire 
chaque defi d% 

ledit contrdieur verifie que chaque d6fi d' reconstruit est identique au defi d 
figurant dans le message sign6, 

cas ou le contrdieur recoit la collection des engagements R 

dans le cas ou le contrdieur recoit la collection des engagements R et des 
reponses D, ledit contrdieur applique la fonction de hachage f ayant comme 
arguments le message m et chaque engagement R pour reconstruire chaque 
defi d% 

ledit contrdieur reconstruit alors la collection des engagements R' en 
effectuant des operation du type 

R'= GA dA . GB dB . ...D T modn 

ou du type : 

R*. GA dA . GB dB . ... = D v mod n 

ledit contrdieur v6rifie que chaque engagement R' reconstruit est identique 
a 1' engagement R figurant dans le message signe, 

6. Procede selon l'une quelconque des revendications 1 a 5 tel que 



les composantes QA P QA 2 , ... (QA., ...), et QB,, QB 2 , ... (QB., ...), ... 
des cles privees QA, QB, ... sont des nombres tires au hasard a raison 
d'une composante QA., QB,, ... pour chacun desdits facteurs premiers p,, 
lesdites cles privees QA, QB, pouvant etre calculees k partir desdites 
composantes QA„ QA 2 , ... (QA., ...), et QB„ QB 2 , ... (QB,, ...), ... par la 
methode des restes chinois, 
lesdites cles publiques GA, GB, ... etant calculee 

• en effectuant des operations du type : 

GA, = QA. V mod p. 

• puis en appliquant la methode des restes chinois pour etablir GA tel que 

GA = QA V mod n 

ou bien tel que 

GA.QA V mod n = 1 

de sorte que le nombre d' operations arithmetiques modulo p. a effectuer 
pour calculer chacun des GA. pour chacun des p. est reduit par rapport k ce 
qu'il serait si les operations etaient effectuees modulo n. 

7. Precede selon la revendication 6 tel que Texposant public de 

verification v est un nombre premier, 

de sorte que la paire de cles GA, QA confere une securite equivalente a la 
connaissance de la cle privee QA. 

8. Precede selon Tune quelconque des revendications 1 a 5 tel que 
l'exposant public de verification v est du type 

v = a k 

ou k est un parametre de securite plus grand que 1. 

9. Procede selon la revendication 8 tel que : 

- Fexposant public de verification v est du type 

v = 2 k 

ou k est un parametre de securite plus grand que 1, 

- la cle publique GA est un carre gA 2 inferieur a n choisi de telle 
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sorte que les deux equations 

x 2 = gA mod n et x 2 = - gA mod n 
n'ont pas de solution en x dans l'anneau des entiers modulo n, 

- lesdites composantes QA„ QA 2 , ... (QA., ...) de la c\6 priv6e QA 
sont telles que : 

GA= QA, 2exp(k) mod p, 

ou bien telles que : 

GA .QA. r " p(k) mod p= 1 
on les obtient en extrayant la k ieme racine carree de GA dans le corps de 
Galois CG(p,) 

de sorte que le nombre d'operations arithmetiques modulo p. a effectuer 
pour calculer chacun des QA. pour chacun des p, est reduit par rapport a ce 
qu'il serait si les operations 6taient effectuees modulo n, 
de sorte que la paire de cles GA, QA confere une security 6quivalente a la 
connaissance de la factorisation de n. 

10. Procdde" selon la revendication 9 tel que pour extraire la k ieme 
racine carree de GA dans le corps de Galois CG(p,), 

* dans le cas ou le facteur premier p. est congru k 3 modulo 4, on 
applique notamment un algorithme du type : 

x = (p+l)/4 ; y s x" mod (p-1) ; z = y ; QA. = GA Z mod p. 

* dans le cas ou le facteur premier p. est congru k 1 modulo 4, on 
utilise les suites de Lucas. 

11. Systeme pour diminuer la charge de travail pendant une session 
destinee a prouver a un serveur contrdleur, 

- 1' authenticity d'une entite et/ou 

- l'origine et l'integrit6 d'un message m, 
ledit procede met en oeuvre trois entites : 

- une premiere entite, appelee dispositif temoin, contenue notamment 
dans un objet nomade se presentant par exemple sous la forme d'une carte 



bancaire a microprocesseur, 

le dispositif temoin dispose d'une premiere zone memoire contenant des 
facteurs premiers p,, p 2 , ... (p ( , ...) (i etant superieur ou egal .k 2) d'un 
module public n tel que n = p,.p 2 . p 3 . ... , 

ledit dispositif temoin dispose aussi d'une deuxieme zone memoire 
contenant : 

* des composantes QA„ QA 2 , ... (QA,, ...), et QB,, QB 2 , ... (QB., 
...), reprSsentant des cles privees QA, QB, ... 

* des cles publiques GA, GB, ... ayant respectivement pour 
composantes GA,, GA 2 , ... (GA., ...) et GB,, GB 2 , ... (GB,, ...) 

* des exposants publics de v6rification vx, vy, ... 

lesdites cles privees et cles publiques etant liees par des relations du type : 

GA.QA" mod n = 1 ou GA = QA" mod n 
ledit dispositif temoin comporte aussi des premiers moyens de calcul pour 
calculer des engagements R en effectuant des operations du type : 

R = r " mod p i 
ou r. est un alea tel que 0 < r, < p. , 

de sorte que le nombre d'operations arithmetiques modulo p. a effectuer par 
lesdits premiers moyens de calcul pour calculer chacun des R pour chacun 
des p, est reduit par rapport a ce qu'il serait si les operations etaient 
effectuees modulo n, 

- une deuxieme entite appelee dispositif pilote dudit dispositif 
temoin pouvant etre egalement contenue notamment dans ledit objet 
nomade, 

ledit dispositif pilote est appele 

* dispositif demonstrateur dans le cas de la preuve de Tauthenticite 
d'une entite ou de T authenticity d'un message, 

* dispositif de signature dans les cas de la preuve de Torigine et de 
Fintegrite d'un message, 
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- une troisieme entity appelee dispositif contrdleur se pr6sentant 
notamment sous la forme d'un terminal et/ou d'un serveur distant connecte 
a un reseau de communication informatique, 

ledit dispositif contr61eur comporte des moyens de connexion pour le 
connecter electriquement, electromagnetiquement, optiquement ou de 
maniere acoustique audit dispositif temoin, 

ledit dispositif contrdleur verifie l'authentification ou l'origine et 1'integrite 
d'un message, 

ledit dispositif t6moin recoit du dispositif pilote ou du dispositif contrdleur 
un ou plusieurs deTis d tel que 0 < d £ vx - 1 et comporte des deuxiemes 
moyens de calcul pour calculer a partir dudit deTi d une ou plusieurs 
reponses D en effectuant des operations du type : 

D, = r, . Q A, dA . QB, dB . ... mod Pi 
ou r, est un entier, associe au nombre premier p., tel que 0 < r, < p, , chaque 
r. appartenant a une collection d'al6as {r„ r 2 , r 3 , ...}, 

le temoin tire au hasard une ou plusieurs collections d'aleas de telle sorte 
que, pour chaque exposant public de verification v, il y a autant 
d'engagements R que de collections d'aleas {r,, r 2 , r 3 , ... }, 
de sorte que le nombre d' operations arithmetiques modulo p. a effectuer par 
lesdits deuxiemes moyens de calcul pour calculer chacune des reponses D, 
pour chacun des p. est reduit par rapport a ce qu'il serait si les operations 
etaient effectu6es modulo n, 

ledit dispositif controleur, recevant une ou plusieurs reponses D, comporte 
des troisiemes moyens de calcul pour calculer a partir desdites reponses D 
des engagements R' en effectuant des operations du type : 

R' = GA dA . GB dB . ...D v modn 

ou du type : 

R' • GA dA . GB . ... = D" mod n 

ledit dispositif contrdleur comporte des quatriemes moyens de calcul pour 




verifier que les triplets {R% d, D} sont coherents. 

12. Systeme pour diminuer la charge de travail pendant une session 
destinee a prouver k un controleur, 

- T authenticity d'une entity et/ou 

- Forigine et l'integrite d'un message m, 
ledit proc6de met en ceuvre trois entit6s : 

- une premiere entite appelee dispositif temoin, contenue notamment 
dans un objet nomade se pr6sentant par exemple sous la forme d'une carte 
bancaire a microprocesseur, 

ledit dispositif temoin dispose d'une premiere zone m^moire contenant des 
facteurs premiers p„ p 2 , ... (p ( , ...) (i 6tant superieur ou egal k 2) d'un 
module public n tel que n = p,.p 2 . p 3 , 

ledit dispositif t6moin dispose aussi d'une deuxieme zone memoire 
contenant 

* des composantes QA„ QA 2 , ... (QA., ...), et QB,, QB 2 , ... (QB., 
...), representant des cles privees QA, QB, ... 

* des cl6s publiques GA, GB, ... ayant respectivement pour 
composantes GA 1? GA 2 , ... (GA., ...) et GB ]5 GB 2 , ... (GB. , ...) 

* un exposant public de verification v 

lesdites paires de cles privees et publiques etant liees par des relations du 
type : 

GA.QA V mod n = 1 ou GA =s QA v mod n 

ledit dispositif temoin comporte aussi des premiers moyens de calcul pour 
calculer des engagements R, 

• en effectuant des operations du type : 

R, = r ( v mod p, 

ou r. est un entier, tire au hasard, associ6 au nombre premier p., tel que 0 < 
r. < p. , chaque r. appartenant a une collection d'aleas {r,, r 2 , r 3 , ...}, 

• puis en appliquant la m6thode des restes chinois, 



le temoin tire au hasard une ou plusieurs collections d'aleas de telle sorte 
qu'il y a autant d'engagements R que de collections d'aleas {r,, r 2 , r,, . .. }, 
de sorte que le nombre d'operations arithm6tiques modulo p, a effectuer par 
lesdits premiers moyens de calcul pour calculer chacun des R, pour chacun 
des p, est reduit par rapport a ce qu'il serait si les operations etaient 
effectuees modulo n, 

- une deuxieme entite, appelee dispositif pilote dudit dispositif 
temoin, pouvant etre 6galement contenue notamment dans ledit objet 
nomade, 

ledit dispositif pilote est appel6 

* dispositif demonstrateur dans le cas de la preuve de 1' authenticity 
d'une entite ou de 1' authenticity d'un message, 

* dispositif de signature dans les cas de la preuve de 1'origine et de 
1' integrite d'un message, 

- une troisieme entite, appelee dispositif contrdleur, se presentant 
notamment sous la forme d'un terminal et/ou d'un serveur distant connecte 
a un r6seau de communication informatique, 

ledit dispositif contrdleur comporte des moyens de connexion pour le 
connecter electriquement, electromagnetiquement, optiquement ou de 
maniere acoustique audit dispositif temoin, 

ledit dispositif contrdleur verifie l'authentification ou l'origine et l'integrite 
d'un message, 

ledit dispositif temoin recoit du dispositif pilote ou du dispositif controleur, 
des collections de defis d {dA, dB, ...} tels que 0 < dA < v - 1, le nombre 
des collections de defis d etant 6gal au nombre d'engagements R, chaque 
collection {dA, dB, ...} comprenant un nombre de defis *egal au nombre de 
paires de cles, 

ledit dispositif temoin comporte des deuxiemes moyens de calcul pour 
calculer a partir de chacune desdites collections de defis {dA, dB, ...} des 
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reponses D 

• en effectuant des operations du type : 

a = r. QA, dA . QB S ** . ... mod Pi 

• puis en appliquant la m6thode des restes chinois, 

de telle sorte qu'il y a autant de reponses D que d'engagements R et de 
d6fis d, 

de sorte que le nombre d'operations arithmetiques modulo p, k effectuer par 
lesdits deuxifemes moyens de calcul pour calculer chacun des D, pour 
chacun des p, est reduit par rapport a ce qu'il serait si les operations 6taient 
effectuees modulo n, 

ledit dispositif contrSleur, recevant une ou plusieurs reponses D, comporte 
des troisiemes moyens de calcul pour calculer a partir desdites reponses D 
un engagement R' en effectuant des op6rations du type : 

R'= GA dA . GB dB . ...D v modn 

ou du type : 

R\ GA dA . GB d \ ... = D V mod n 

ledit dispositif controleur comporte des quatrifemes moyens de calcul pour 
verifier que les triplets {R% d, D} sont coherents. 

13. Sy steme selon la revendication 12 pour diminuer la charge de 
travail pendant une session destin6e a prouver a un contrdleur 1' authenticity 
d'une entit6 ; 

ledit procede met en ceuvre trois entites : 

1 - une premiere entity appelee dispositif temoin, contenue 
notamment dans un objet nomade se presentant par exemple sous la forme 
d'une carte bancaire a microprocesseur, 

ledit dispositif temoin dispose d'une premiere zone memoire contenant des 
facteurs premiers p,, p 2 , ... (p. , ...) (i 6tant supgrieur ou egal k 2) d'un 
module public n tel que n = p,.p 2 . p 3 , 

ledit dispositif temoin dispose aussi d'une deuxieme zone memoire 
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contenant : 

* des composantes QA„ QA 2 , ... (QA., ...), et QB„ QB 2 , ... (QB,, 
...),..., representant des cles privees QA, QB, . . . 

* des cles publiques GA, GB, ... ayant respectivement pour 
composantes GA,, GA 2 , ... (GA., ...) et GB„ GB 2 , ... (GB., ...) 

* un exposant public de verification v 

lesdites paires de cles privees et publiques etant liees par des relations du 
type : 

GA.QA" mod n = 1 ou GA = QA'mod n 

2 - une deuxieme entite appelee dispositif demonstrateur dudit 
dispositif temoin, pouvant etre egalement contenue notamment dans ledit 
objet nomade, 

3 - une troisieme entity appelee dispositif contrdleur se presentant 
sous la forme d'un terminal et/ou d'un serveur distant connecte a un reseau 
de communication informatique, 

ledit dispositif contrdleur comporte des moyens de connexion pour le 
connecter electriquement, electromagnetiquement, optiquement ou de 
maniere acoustique audit dispositif temoin, 

pour prouver l'authenticite d'une entite, ledit dispositif temoin, ledit 
dispositif demonstrateur et ledit dispositif contrdleur ex6cutent les etapes 
suivantes : 

• etape 1. engagement R du dispositif temoin : 

- le dispositif temoin comporte des premiers moyens de calcul pour tirer au 
hasard et en prive, a chaque appel, au moins une collection de nombres 
entiers {r„ r 2 , r 3 , ...},telle que pour chaque facteur premier p p chaque 
collection comporte un alea r.positif et plus petit que p, , 

- le dispositif temoin comporte des deuxiemes moyens de calcul pour elever 
chaque alea r, a la puissance v ieme modulo p. , pour chaque facteur 
premier p. , 
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R = r/ mod p t 

de sorte que le nombre cT operations arithmetiques modulo p. a effectuer par 
les deuxiemes moyens de calcul pour calculer chacun des R, pour chacun 
des p s est reduit par rapport k ce qu'il serait si les operations etaient 
effectuees modulo n, 

- puis, lesdits deuxidmes moyens de calcul dudit dispositif temoin 
Stablissent chaque engagement R modulo n selon la mdthode des restes 
chinois, 

de telle sorte qu'il y a autant d'engagements R que de collections d'aleas 
*" 2 , r 3 , ...}, 

• etape 2. defi d destine au dispositif temoin : 

- le dispositif demonstrates comporte des moyens de transmission pour 
transmettre tout ou partie de chaque engagement R au dispositif 
controleur, 

- le dispositif contrdleur comporte des troisiemes moyens de calcul pour 
calculer, apres avoir re?u tout ou partie de chaque engagement R, au moins 
une collection de defis d {dA, dB, •..} tels que 0 < dA < v - 1, le nombre 
des collections de defis d etant egal au nombre d'engagements R, chaque 
collection {dA, dB, ...} comprenant un nombre de defis egal au nombre de 
paires de cles, 

• etape 3. reponse du dispositif temoin au defi d : 

- ledit dispositif temoin comporte des quatriemes moyens de calcul pour 
calculer des reponses D ,a partir desdites collections de defis d {dA, dB, 
...} revues du dispositif controleur, 

en effectuant des operations du type : 

D, = r. . QA. ^ . QB. ™ . ... mod Pi 
puis en appliquant la rnethode des restes chinois, 

de sorte que le nombre d' operations arithmetiques modulo p. a effectuer 
par les quatriemes moyens de calcul pour calculer chacun des D ( pour 



chacun des p. est reduit par rapport a ce qu'il serait si les op6rations etaient 
effectuees modulo n, 

de telle sorte qu'il y a autant de reponses D calculees par le temoin que 
d' engagements R et de defis d, 

• etape 4. donnees destinees au dispositif contrdleur : 

- le demonstrateur comporte des moyens de transmission pour transmettre 
au dispositif contrdleur chaque reponse D, 

• etape 5. verification par le dispositif contrdleur : 

ledit dispositif contrdleur comporte des cinquiemes moyens de calcul pour 
calculer a partir de chaque reponse D un engagement R' en effectuant des 
operations du type : 

R'=GA dA .GB dB ....D v modn 

ou du type : 

R'.GA dA .GB dB . ...= D V modn 

ledit dispositif contrdleur comporte des sixiemes moyens de calcul pour 
comparer et verifier que chaque engagement reconstruit R' reproduit tout 
ou partie de chaque engagement R transmis a l'6tape 2 par le dispositif 
demonstrateur. 

14. Sy steme selon la revendication 12 pour diminuer la charge de 
travail pendant une session destinee a prouver a un contrdleur Pauthenticite 
d'un message m, 

ledit procede met en ceuvre trois entites : 

1 - une premiere entite appelee dispositif temoin, contenue 
notamment dans un objet nomade se presentant par exemple sous la forme 
d'une carte bancaire a microprocesseur, 

ledit dispositif temoin dispose d'une premiere zone memoire contenant des 
facteurs premiers p„ p 2 , ... (p, , ...) (i etant superieur ou egal a 2) d'un 
module public n tel que n = p,.p 2 . p 3 . ... , 

ledit dispositif temoin dispose aussi d'une deuxieme zone memoire 
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contenant 

* des composantes QA l5 QA 2 , ... (QA., ...), et QB„ QB 2 , ... (QB., 
...), ...» representant des cles privees QA, QB, ... 

* des cles publiques GA, GB, ... ayant respectivement pour 
composantes GA„ GA 2 , ... (GA., ...) et GB„ GB 2 , ... (GB,, ...) 

* un exposant public de verification v 

lesdites paires de cles privees et publiques 6tant liees par des relations du 
type : 

GA.QA V mod n = lou GA = QA v mod n 

2 - une deuxieme entity, appelee demonstrateur dudit dispositif 
temoin, pouvant etre egalement contenue notamment dans ledit objet 
nomade, 

3 - une troisieme entite appelee dispositif controleur se presentant 
sous la forme d'un terminal et/ou d'un serveur distant connecte a un reseau 
de communication informatique, 

ledit dispositif controleur comporte des moyens de connexion pour le 
connecter electriquement, electromagnetiquement, optiquement ou de 

maniere acoustiqne audit dispositif temoin, 

pour prouver Tauthenticite d'un message ledit dispositif temoin, ledit 
dispositif demonstrateur et ledit dispositif controleur executent les etapes 
suivantes : 

• etape 1. engagement R du dispositif temoin : 

- ledit dispositif temoin comporte des premiers moyens de calcul pour tirer 
au hasard et en prive, a chaque appel, au moins une collection de nombres 
entiers {r„ r 2 , r 3 , ...},telle que pour chaque facteur premier p., chaque 
collection comporte un alea r.positif et plus petit que p t ? 

- ledit dispositif temoin comporte des deuxiemes moyens de calcul pour 
elever chaque alea r. a la puissance v ieme modulo p. , pour chaque facteur 
premier p. , 
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R, = r. v mod p. 

de sorte que le nombre d'operations arithm&iques modulo p, a effectuer par 
les deuxiemes moyens de calcul pour calculer chacun des R, pour chacun 
des p, est reduit par rapport a ce qu'il serait si les operations 6taient 
effectuees modulo n, 

- puis, lesdits deuxiemes moyens de calcul dudit dispositif temoin 
etablissent chaque engagement R modulo n selon la m6thode des restes 
chinois, 

de telle sorte qu'il y a autant d'engagements R que de collections d'aleas 
** 2 , r 3 , ...}, 

• etape 2. defi d destine au dispositif temoin : 

- le dispositif demonstrates comporte des premiers moyens de calcul pour 
calculer, en appliquant une fonction de hachage f ayant comme arguments 
le message m et chaque engagement R pour un jeton T, 

- ledit dispositif demonstrates comporte des moyens de transmission pour 
transmettre le jeton T au dispositif controleur 

- ledit dispositif controleur comporte des troisiemes moyens de calcul pour 
calculer, apres avoir recu le jeton T, au moins une collection de defis d 
{dA, dB, ...} tels que 0 < dA < v - 1, le nombre des collections de defis d 
etant egal au nombre d'engagements R, chaque collection {dA, dB, ...} 
comprenant un nombre de defis egal au nombre de paires de cles, 

• etape 3. reponse du dispositif temoin au defi d : 

- ledit dispositif temoin comporte des quatriemes moyens de calcul pour 
calculer des reponses D, a partir desdites collection de defis d {dA, dB, ...} 
recues du dispositif contr61eur 

en effectuant des operations du type : 

D i = r i .QA i dA .QB i dB ....mod Pi 

puis en appliquant la methode des restes chinois, 

de sorte que le nombre d'operations arithmetiques modulo p, a effectuer 
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par les quatriemes moyens de calcul pour calculer chacun des D s pour 
chacun des p. est reduit par rapport a ce qu'il serai t si les operations 6taient 
effectuees modulo n, 

de telle sorte qu'il y a autant de reponses D calculees par le t&noin que 
d' engagements R et de defis d, 

• etape 4. donnees destinees au dispositif contrdleur : 

- le demonstrateur comporte des moyens de transmission pour transrnettre 
au dispositif qontroleur chaque reponse D, 

• etape 5. verification par le dispositif contrdleur : 

ledit dispositif contr61eur comporte des cinquifcmes moyens de calcul pour 
calculer k partir de chaque reponse D un engagement R' en effectuant des 
operations du type : 

R , = GA dA .GB dB ....D v modn 

ou du type : 

R' . GA d \ GB dB . ...= D V mod n 

ledit dispositif controleur comporte des sixiemes moyens de calcul pour 
calculer, en appliquant la fonction de hachage f ayant comrne arguments le 

message m et chaque engagement R% le jeton T\ 

ledit dispositif controleur comporte des septiemes moyens de calcul pour 
comparer et verifier que le jeton T' est identique au jeton T transmis a 
F etape 2 par le dispositif demonstrateur. 

15. Systeme selon la revendication 12 pour diminuer la charge de 
travail pendant une session destinee a prouver a un controleur la signature 
numerique d'un message m, 
ledit procede met en ceuvre trois entites : 

1 - une premiere entite, appelee dispositif temoin, contenues 
notamment dans un objet nomade se presentant par exemple sous la forme 
d'une carte bancaire a microprocesseur, 

ledit dispositif temoin comporte une premiere zone memoire contenant des 
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facteurs premiers p„ p 2 , ... (p. , ...) (i etant superieur ou egal a 2) d'un 
module public n tel que n = p t .p 2 . p 3 , 

ledit dispositif temoin comporte aussi une deuxieme zone memoire 
contenant : 

* des composantes QA„ QA 2 , ... (QA., ...), et QB„ QB 2 , ... (QB., 
...), representant des cles privees QA, QB, ... 

* des cles publiques GA, GB, ... ayant respectivement pour 
composantes GA,, GA 2 , ... (GA., ...) et GB,, GB 2 , ... (GB., ...) 

* un exposant publique de verification v 

lesdites paires de cles privees et publiques etant lies par des relations du 
type : 

GA.QA V mod n = 1 ou GA = QA v mod n 

2 - une deuxieme entite appelee dispositif de signature, pouvant etre 
egalement contenue notamment dans ledit objet nomade, 

3 - une troisieme entite appelee dispositif controleur se presentant 
sous la forme d'un terminal et/ou d'un serveur distant connecte a un reseau 
de communication informatique, 

ledit dispositif controleur comporte des moyens de connexion pour le 
connecter electriquement, electromagnetiquement, optiquement ou de 
maniere acoustique audit dispositif temoin, 

pour prouver la signature d'un message ledit dispositif temoin, ledit 
dispositif demonstrateur et ledit dispositif controleur executent les etapes 
suivantes : 

• etape 1. engagement R du temoin : 

- le dispositif temoin comporte des premiers moyens de calcul pour tirer au 
hasard et en prive, a chaque appel, au moins une collection de nombres 
entiers {r,, r 2 , r 3 , ...},telle que pour chaque facteur premier p., chaque 
collection comporte un alea r.positif et plus petit que p. , 

- le dispositif temoin comporte des deuxiemes moyens de calcul pour elever 
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chaque alea r, k la puissance v ieme modulo p |f pour chaque facteur premier 

Rj = r, v mod p, 

de sorte que le nombre d'operations arithm6tiques modulo p i a effectuer par 
les deuxifemes moyens de calcul pour calculer chacun des R, pour chacun 
des p, est r6duit par rapport k ce qu'il serait si les operations 6taient 
effectu6es modulo n, 

- puis, lesdits deuxiemes moyens de calcul dudit dispositif t6moin 
etablissent chaque engagement R modulo n selon la methode des restes 
chinois, 

de telle sorte qu'il y a autant d' engagements R que de collections d'al6as 

• etape 2. defi d destine au dispositif temoin : 

- ledit dispositif de signature comporte des troisi&mes moyens de calcul 
pour calculer, en appliquant une fonction de hachage f ayant comme 
arguments le message m et chaque engagement R, au moins une collection 
de defis d {dA, dB, ...} tels que 0 < dA < v - 1, le nombre des collections 
de defis d etant egal au nombre d'engagements R, chaque collection {dA, 
dB, ...} comprenant un nombre de defis egal au nombre de paires de ctes, 

- le dispositif de signature transmet les collections de d6fis d au 
temoin, 

• etape 3. reponse du dispositif temoin au defi d : 

- ledit dispositif temoin comporte des quatrifemes moyens de calcul pour 
calculer des reponses D, a partir desdites collections de defis d {dA, dB, 
...} re9ues du dispositif controleur, 

en effectuant des operations du type : 

D f s r, . QA, ** . QB i . ... mod p. 
puis en appliquant la methode des restes chinois, 

de sorte que le nombre d' operations arithmetiques modulo p, a effectuer 



par les quatriemes moyens de calcul pour calculer chacun des D, pour 
chacun des p, est reduit par rapport a ce qu'il serait si les operations etaient 
effectuees modulo n, 

de telle sorte qu'il y a autant de reponses D calcutees par le temoin que 
d'engagements R et de defis d, 

- ledit dispositif temoin comporte des moyens de transmission pour 
transmettre les reponses D au dispositif de signature et/ou au dispositif 
contrdleur, 

• etape 4. donnees destinees au dispositif contrdleur : 

- le dispositif de signature transmet au dispositif controleur un message 
sign6 comprenant : 

/ le message m, 

/ les collections de defis d ou les engagements R, 
/ chaque reponse D 

• etape 5. verification par le dispositif controleur : 
cas ou le dispositif controleur recoit la collection des defis d, 

dans le cas ou le dispositif controleur recoit les collections des defis d et 
des reponses D, ledit dispositif controleur comporte des cinquiemes moyens 
de calcul pour calculer a partir de chaque reponse D un engagement R' en 
effectuant des operations du type : 

R' = GA M .GB dB ....D' modn 

ou du type : 

R'. GA dA . GB dB . ...= D T mod n 

ledit dispositif contrSleur comporte des sixiemes moyens de calcul pour 
calculer chaque d6fi d', en appliquant la fonction de hachage f ayant 
comme arguments le message m et chaque engagement reconstruit R% 
ledit dispositif controleur comporte des septiemes moyens de calcul pour 
comparer et verifier que chaque deTi d' est identique au defi d figurant dans 
le message sign6, 
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cas oil le dispositif controleur re^oit la collection des engagements R 

dans le cas ou le dispositif controleur re^oit la collection des engagements 
R et des reponses D, ledit dispositif controleur comporte des cinquiemes 
moyens de calcul pour calculer chaque defi d\ en appliquant la fonction de 
hachage f ayant comme arguments le message m et chaque engagement R, 
ledit dispositif controleur comporte des sixiemes moyens de calcul pour 
calculer alors la collection des engagements R' en effectuant des operations 
du type 

R' = GA d A . GB d ' B . ...D* mod n 

ou du type : 

R ' . G A d A . GB d B . . . . = D v mod n 

ledit dispositif controleur comporte des septiemes moyens de calcul pour 
comparer et verifier que chaque engagement R' reconstruit est identique a 
T engagement R figurant dans le message signe. 

16. Systeme selon Tune quelconque des revendications 11 a 15 tel 
que les composantes QA„ QA 2 , ... (QA., ...), et QB„ QB 2 , ... (QB., ...), 
... des cles privees QA, QB, ... sont des nombres tires au hasard a raison 
d'nne composante QA i? QB., ... pour chacun desdits facteurs premiers p., 
lesdites cles privees QA, QB, pouvant etre calculees k partir desdites 
composantes QA,, QA 2 , ... (QA., ...), et QB t , QB 2 , ... (QB., ...), ... par la 
methode des restes chinois, 

ledit dispositif temoin comportant des huitiemes moyens de calcul pour 
calculer lesdites cles publiques GA, GB, 

• en effectuant des operations du type : 

GA. = QA/modp. 

• puis en appliquant la methode des restes chinois pour etablir GA tel que 

GA = QA mod n 

ou bien tel que 

GA.QA V mod n s 1 
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de sorte que le nombre d'operations arithmetiques modulo p. a effectuer par 
les huitiemes moyens de calcul dudit dispositif t6moin pour calculer chacun 
des GA, pour chacun des p. est r6duit par rapport a ce qu'il serait si les 
operations gtaient effectuees modulo n, 

17. Systeme selon la revendication 16 tel que l'exposant public de 
verification v est un nombre premier, 

de sorte que la paire de cles GA, QA confere une s6curit6 equivalente a la 
connaissance de la cl6 privee QA. 

18. Systeme selon 1'une quelconque des revendications 11 a 15 tel 
que l'exposant public de verification v est du type 

v=a k 

ou k est un parametre de s6curit6 plus grand que 1 . 

19. Systeme selon la revendication 18 tel que : 

- l'exposant public de verification v est du type 

v = 2" 

ou k est un parametre de security plus grand que 1, 

- la c\6 publique GA est un carr<§ gA 2 inferieur a n choisi de telle 
sorte que les deux equations 

x 2 = gA mod n et x 2 = - gA mod n 
n'ont pas de solution en x dans l'anneau des entiers modulo n 

- ledit dispositif temoin comportant des neuviemes moyens de calcul 
pour calculer les dites composantes QA„ QA 2 , ... (QA, , ...) de la cle 
privee QA en appliquant des formules telles que : 

GA= QA.^modpi 

ou bien telles que : 

GA .QA, 2wp " mod p,s 1 

et en extrayant la k ieme racine carree de GA dans le corps de Galois 
CG(p,) 

de sorte que le nombre d' operations arithmetiques modulo p, a effectuer 
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par les neuviemes moyens de calcul du dispositif temoin pour calculer 
chacun des QA. pour chacun des p. est reduit par rapport a ce qu'il serait si 
les operations etaient effectuees modulo n, 

de sorte que la paire de cles GA, QA confere une securite 6quivalente h la 
connaissance de la factorisation de n. 

20. Systfeme selon la revendication 19 tel que pour extraire la k ieme 
racine carr6e de GA dans le corps de Galois CG(pj), 

* dans le cas ou le facteur premier p, est congru k 3 modulo 4, les 
neuvi&mes moyens de calcul du dispositif temoin appliquent notamment un 
algorithme du type : 

x = (p+l)/4 ;y = x k mod (p-1) ; z = y ; QA t = GA T mod p. 

* dans le cas ou le facteur premier p. est congru a 1 modulo 4, les 
neuviemes moyens de calcul du dispositif temoin appliquent notamment un 
algorithme bas6 sur les suites de Lucas. 

21. Objet nomade, se presentant par exemple sous la forme d'une 
carte bancaire a microprocesseur, pour diminuer la charge de travail 
pendant une session destinee a prouver a un serveur contrdleur, 

- 1'authenticite d'une entite et/ou 

- l'origine et l'integrite d'un message m, 
ledit objet nomade faisant intervenir trois entites : 

- une premiere entite, appelee dispositif temoin, contenue dans ledit 
objet nomade, 

ledit dispositif temoin dispose d'une premiere zone memoire contenant des 
facteurs premiers p 1? p 2 , ... (p. , (i etant superieur ou egal a 2) d'un 
module public n tel que n = p,.p 2 . p 3 . ... , 

ledit dispositif temoin dispose aussi d'une deuxieme zone memoire 
contenant : 

* des composantes QA,, QA 2 , ... (QA., ...), et QB,, QB 2 , ... (QB,, 
...),..., repr6sentant des cles privees QA, QB, ... 
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* des cles publiques GA, GB, ... ayant respectivement pour 
composantes GA,, GA 2 , ... (GA,, ...) et GB,, GB 2 , ... (GB,, ...) 

* des exposants publics de verification vx, vy, ... 

lesdites cl6s privees et cles publiques etant li6es par des relations du type : 

GA.QA" mod n = 1 ou GA = QA vx mod n 
ledit dispositif temoin comporte aussi des premiers moyens de calcul pour 
calculer des engagements R eri-effectuant des operations du type : 

R. = r, vx mod p. 
ou r, est un al6a tel que 0 < r, < p., 

de sorte que le nombre d' operations arithmetiques modulo p, k effectuer par 
lesdits premiers moyens de calcul pour calculer chacun des R pour chacun 
des p. est reduit par rapport h ce qu'il serait si les op6rations etaient 
effectuees modulo n, 

- une deuxi&me entite, appel6e dispositif pilote dudit dispositif 
temoin, pouvant 6tre 6galement contenue dans ledit objet nomade, 

ledit dispositif pilote est appele 

* dispositif demonstrates dans le cas de la preuve de l'authenticite 
d'une entite ou de Tauthenticite d'un message, 

* dispositif de signature dans les cas de la preuve de Torigine et de 
Fintegrit6 d'un message, 

- une troisieme entite appelee dispositif contrdleur se presentant 
notamment sous la forme d'un terminal et/ou d'un serveur distant connecte 
a un reseau de communication informatique, 

ledit dispositif controleur verifie l'authentification ou Forigine et l'integrite 
d'un message, 

ledit objet nomade comporte des moyens de connexion pour connecter 
electriquement, electromagnetiquement, optiquement ou de manifere 
acoustique ledit dispositif temoin et/ou ledit dispositif pilote audit dispositif 
controleur, 
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ledit dispositif temoin re$oit du dispositif pilote ou du dispositif controleur 
un ou plusieurs defis d tel que 0 < d < vx - 1 et comporte des deuxiemes 
moyens de calcul pour calculer a partir dudit defi d une ou plusieurs 
reponses D en effectuant des operations du type : 

D. == r. . QA, " . QB i . ... mod Pi 
ou r. est un entier, associd au nombre premier p., tel que 0 < r, < p, , chaque 
i\ appartenant a une collection d'aleas {r^ r 2 , r 3 , ...}, 

le temoin tire au hasard une ou plusieurs collections d'aleas de telle sorte 
que, pour chaque exposant public de verification v, il y a autant 
d'engagements R que de collections d'aleas {r p r 2 , r 3 , ... }, 
de sorte que le nombre d' operations arithmetiques modulo p. h. effectuer par 
lesdits deuxiemes moyens de calcul pour calculer chacune des reponses D. 
pour chacun des p. est reduit par rapport a ce qu'il serait si les operations 
etaient effectuees modulo n, 

ledit objet nomade comporte des moyens de transmission pour transmettre 
audit dispositif controleur la ou les dites reponses D. 

22. Objet nomade se presentant par exemple sous la forme d'une 
carte bancaire a microprocesseur, pour diminuer la charge de travail 
pendant une session destinee a prouver a un controleur, 

- T authenticity d'une entite et/ou 

- Torigine et l'integrite d'un message m, 
ledit objet nomade faisant intervenir trois entites: 

- une premiere entite, appelee dispositif temoin, contenue dans ledit 
objet nomade, 

ledit dispositif temoin dispose d'une premiere zone memoire contenant des 
facteurs premiers Pl , p 2 , ... (p. , ...) (i etant superieur^ou egal a 2) d'un 
module public n tel que n = p,.p 2 - p 3 , 

ledit dispositif temoin dispose aussi d'une deuxieme zone memoire 
contenant 
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* des composantes QA t , QA 2 , ... (QA., ...), et QB l5 QB 2 , ... (QB,, 
...), representant des cles privees QA, QB, ... 

* des cles publiques GA, GB, ... ayant respectivement pour 
composantes GA„ GA 2 , ... (GA., ...) et GB,, GB 2 , ... (GB., ...) 

* un exposant public de verification v 

lesdites paires de cles privees et publiques etant liees par des relations du 
type: 

G A.QA V mod n = 1 ou GA = Q A v mod n 

ledit dispositif temoin comporte aussi des premiers moyens de calcul pour 
calculer des engagements R, 

• en effectuant des operations du type : 

R. = r. v mod p. 

ou r. est un entier, tire au hasard, associe au nombre premier p., tel que 0 < 
r ( < p. , chaque r. appartenant a une collection d'aleas {r„ r 2 , r 3 , ...}, 

• puis en appliquant la methode des restes chinois, 

le temoin tire au hasard une ou plusieurs collections d'aleas de telle sorte 
qu'il y a autant d' engagements R que de collections d'aleas {r p r 2 , r 3 , ... }, 
de sorte que le nombre d' operations arithmetiques modulo p. a effectuer par 
lesdits premiers moyens de calcul pour calculer chacun des R. pour chacun 
des p. est reduit par rapport a ce qu'il serait si les operations etaient 
effectuees modulo n, 

- une deuxieme entite, appelee dispositif pilote dudit dispositif 
temoin, pouvant etre egalement contenue dans ledit objet nomade, 

ledit dispositif pilote est appele 

* dispositif demonstrates dans le cas de la preuve de T authenticity 
d'une entite ou de F authenticity d'un message, 

* dispositif de signature dans le cas de la preuve de Torigine et de 
F integrite d'un message, 

- une troisieme entite, appelee dispositif controleur, se presentant 



138 



notamment sous la forme d'un terminal et/ou d'un serveur distant connecte 
a un reseau de communication informatique, 

ledit dispositif controleur verifie 1' authentication ou Torigine et Tintegrite 
d'un message, 

ledit objet nomade comporte des moyens de connexion pour connecter 
electxiquement, electromagnetiquement, optiquement ou de manifcre 
acoustique ledit dispositif temoin et/ou ledit dispositif pilote audit dispositif 
controleur, 

ledit dispositif temoin re?oit du dispositif pilote ou du dispositif contrdleur, 
des collections de defis d {dA, dB, tels que 0 < dA < v - 1, le nombre 
des collections de defis d etant egal au nombre d' engagements R, chaque 
collection {dA, dB, ...} comprenant un nombre de defis egal au nombre de 
paires de cles, 

ledit dispositif temoin comporte des deuxiemes moyens de calcul pour 
calculer a partir de chacune desdites collections de defis {dA, dB, ...} des 
reponses D 

• en effectuant des operations du type : 

D. = r. , OA. dA . QB. dB . ... mod Pj 

• puis en appliquant la methode des restes chinois, 

de telle sorte qu'il y a autant de reponses D que d'engagements R et de 
defis d, 

de sorte que le nombre d' operations arithmetiques modulo p. a effectuer par 
lesdits deuxiemes moyens de calcul pour calculer chacun des D, pour 
chacun des p. est reduit par rapport a ce qu'il serait si les operations etaient 
effectuees modulo n, 

ledit objet nomade comporte des moyens de transmission pour transmettre 
audit dispositif controleur la ou lesdites reponses D. 

23. Objet nomade selon la revendication 22 pour diminuer la charge 
de travail pendant une session destinee a prouver a un dispositif controleur 
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1' authenticity d'une entite ; 

ledit objet nomade faisant intervenir trois entites : 

1 - une premiere entite, appelee dispositif temoin, contenue dans 
ledit objet nomade, 

ledit dispositif temoin comporte une premiere zone memoire contenant des 
facteurs premiers p,, p 2 , ... (p. , ...) (i etant superieur ou egal a 2) d'un 
module public n tel que n = p,.p 2 . p 3 , 

ledit dispositif temoin comporte aussi une deuxieme zone memoire 
contenant : 

* des composantes QA 1? QA 2 , ... (QA., ...), et QB„ QB 2 , ... (QB,, 
...), representant des cles privees QA, QB, ... 

* des cles publiques GA, GB, ... ayant respectivement pour 
composantes GA t , GA 2 , ... (GA., ...) et GB^ GB 2 , ... (GB., ...) 

* un exposant public de verification v 

lesdites paires de cles privees et publiques etant liees par des relations du 
type : 

GA.QA V mod n = 1 ou GA = QA v mod n 

2 - une deuxieme entite, appelee dispositif demonstrateur dudit 
dispositif temoin, pouvant etre egalement contenue dans ledit objet 

* nomade, 

3 - une troisieme entite appelee dispositif controleur se presentant 
notamment sous la forme d'un terminal et/ou d'un serveur distant connecte 
a un reseau de communication informatique, 

ledit objet nomade comporte des moyens de connexion pour connecter 
electriquement, electromagnetiquement, optiquement ou de maniere 
acoustique ledit dispositif temoin et/ou ledit dispositif demonstrateur audit 
dispositif controleur, 

pour prouver l'authenticite d'une entite, ledit objet nomade execute les 
etapes suivantes : 
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• etape 1. engagement R du dispositif temoin : 

- le dispositif temoin comporte des premiers moyens de calcul pour tirer au 
hasard et en priv6, a chaque appel, au moins une collection de nombres 
entiers {r„ r 2 , r 3 , ...},telle que pour chaque facteur premier p., chaque 
collection comporte un alea r,positif et plus petit que p. , 

- le dispositif temoin comporte des deuxiemes moyens de calcul pour elever 
chaque alea r, a la puissance v ieme modulo p, , pour chaque facteur 
premier p ; , 

R ( = r. v mod p, 

de sorte que le nombre d'op6rations arithmetiques modulo p. a effectuer par 
les deuxiemes moyens de calcul pour calculer chacun des R, pour chacun 
des p, est reduit par rapport a ce qu'il serait si les operations etaient 
effectuees modulo n, 

- puis, lesdits deuxiemes moyens de calcul dudit dispositif temoin 
etablissent chaque engagement R modulo n selon la methode des restes 
chinois, 

de telle sorte qu'il y a autant d' engagements R que de collections d'aleas 

f I" 2? T 3? • • •}, 

• etape 2. transmission des engagements R et reception des defis 
d destines au dispositif temoin : 

- ledit objet nomade comporte des moyens de transmission pour transmettre 
au dispositif contrdleur tout ou partie de chaque engagement R, 

- ledit objet nomade comporte des moyens de reception pour recevoir des 
collections de defis d {dA, dB, ...} produits par ledit dispositif contrSleur, 

• etape 3. reponse du dispositif temoin aux delis d : 

- ledit dispositif temoin comporte des troisiemes moyens de calcul pour 
calculer des reponses D , a partir desdites collections de defis d {dA, dB, 
...} recues du dispositif contrdleur, 

en effectuant des op6rations du type : 
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D, s r, . QA. . QB. . ... mod Pi 

puis en appliquant la methode des restes chinois, 

de sorte que le nombre d' operations arithmetiques modulo p. a effectuer par 
les troisiemes moyens de calcul pour calculer chacun des D. pour chacun 
des p. est reduit par rapport k ce qu'il serait si les operations etaient 
effectuees modulo n, 

de telle sorte qu'il y a autant de reponses D calculees par le temoin que 
d' engagements R et de defis d, 

• etape 4. donnees destinees au dispositif contrdleur : 

- ledit objet nomade comporte des moyens de transmission pour transmettre 
au dispositif controleur chaque reponse D, 

• etape 5. verification par le dispositif contrdleur : 

ledit dispositif controleur verifie la coherence des triplets {R, d, D} et 
T authenticity de l'entite controlee. 

24. Objet nomade selon la revendication 22 pour diminuer la charge 
de travail pendant une session destinee a prouver a un controleur 
Fauthenticite d'un message m, 
ledit objet nomade faisant intervenir trois entites : 

1 - une premiere entite, appelee dispositif temoin, contenue dans 
ledit objet nomade, 

ledit dispositif temoin comporte une premiere zone memoire contenant des 
facteurs premiers Pl , p 2 , ... (p. , ...) (i etant superieur ou egal a 2) d'un 
module public n tel que n = p r p 2 . p 3 . ... , 

ledit dispositif temoin comporte aussi une deuxieme zone memoire 
contenant 

* des composantes QA,, QA 2 , ... (QA. , ...), et QB,, QB 2 , ... (QB i? 
• ..), . . representant des cles privees QA, QB, ... 

* des cles publiques GA, GB, ... ayant respectivement pour 
composantes GA t , GA 2 , ... (GA., ....) et GB,, GB 2 , ... (GB., ...) 
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* un exposant public de verification v 
lesdites paires de cles privees et publiques etarit liees par des relations du 
type : 

GA.QA* mod n = lou GA = QA'mod n 

2 - une deuxieme entite, appelee demonstrateur dudit dispositif 
temoin, pouvant Stre 6galement contenue dans ledit objet nomade, 

3 - une troisieme entity appelee dispositif contrSleur se pr6sentant 
sous la forme d'un terminal et/ou d'un serveur distant connecte k un r6seau 
de communication informatique, 

ledit objet nomade comporte des moyens de connexion pour connecter 
electriquement, electromagnetiquement, optiquement ou de maniere 
acoustique ledit dispositif temoin et/ou ledit dispositif demonstrateur audit 
dispositif contrSleur, 

pour prouver Tauthenticite d'un message ledit objet nomade execute les 
etapes suivantes : 

• etape 1. engagement R du dispositif temoin : 

- ledit dispositif temoin comporte des premiers moyens de calcul pour tirer 
an hasard et en prive, a chaque appel, au moins une collection de nombres 
entiers {r,, r 2 , r 3 , ...},telle que, pour chaque facteur premier p p chaque 
collection comporte un alea r, positif et plus petit que p. , 

- ledit dispositif temoin comporte des deuxiemes moyens de calcul pour 
elever chaque alea r. a la puissance v ieme modulo p. , pour chaque facteur 
premier p. , 

R = r: mod p ; 

(de sorte que le nombre d' operations arithmetiques modulo p. a effectuer 
par les deuxiemes moyens de calcul pour calculer chacun des Rj pour 
chacun des p ( est reduit par rapport a ce qu'il serait si les operations 6taient 
effectu^es modulo n, 

- puis, lesdits deuxiemes moyens de calcul dudit dispositif temoin 
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etablissent chaque engagement R modulo n selon la methode des restes 
chinois, 

de telle sorte qu'il y a autant d' engagements R que de collections d'aleas 

• etape 2. reception des defis d destines au dispositif temoin: 

- le dispositif demonstrateur comporte des premiers moyens de calcul pour 
calculer, en appliquant une fonction de hachage f ayant comme arguments 
le message m et chaque engagement R pour un jeton T, 

- ledit objet nomade comporte des moyens de transmission pour transmettre 
audit dispositif controleur le jeton T, 

- ledit objet nomade comporte des moyens de reception pour recevoir des 
collections de defis d {dA, dB, ...} produits par ledit dispositif contrdleur 
au moyen du jeton T, 

• etape 3. reponse du dispositif temoin au defi d : 

- ledit dispositif temoin comporte des troisiemes moyens de calcul pour 
calculer des reponses D, a partir desdites collections de defis d {dA, dB, 
...} revues du dispositif controleur 

en effectuant des operations du type : 

D ; = r. % . QA. dA . QB. dB . ... mod Pi 
puis en appliquant la methode des restes chinois, 

de sorte que le nombre d' operations arithmetiques modulo p. a effectuer par 
les quatriemes moyens de calcul pour calculer chacun des D. pour chacun 
des p. est reduit par rapport a ce qu'il serait si les operations etaient 
effectuees modulo n, 

de telle sorte qu'il y a autant de reponses D calculees par le temoin que 
d' engagements R et de defis d, 

• etape 4. donnees destinees au dispositif controleur : 

- T objet nomade comporte des moyens de transmission pour transmettre 
audit dispositif controleur chaque reponse D 
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* etape 5. verification par le dispositif controleur : 

ledit dispositif controleur verifie la coherence des triplets {R, d, D) et 
T authenticity du message m. 

25. Objet nomade selon la revendication 22 pour diminuer la charge 
de travail pendant une session destinee k prouver a un contrdleur la 
signature num6rique d'un message m, 
ledit objet nomade faisant intervenir trois entites : 

1 - une premiere entity appelee dispositif temoin, contenue dans 
ledit objet nomade, 

ledit dispositif temoin comporte une premiere zone memoire contenant des 
facteurs premiers p„ p 2 , ... (p., ...) (i etant superieur ou egal k 2) d'un 
module public n tel que n = p,.p 2 . p 3 , 

ledit dispositif temoin comporte aussi une deuxieme zone m6moire 
contenant : 

* des composantes QA„ QA 2 , ... (QA., ...), et QB„ QB 2 , ... (QB., 
...), representant des cles privies QA, QB, ... 

* des cles publiques GA, GB, ... ayant respectivement pour 
composantes GA„ GA 2 , ... (GA., .„) et GB,, GB 2 , ... (GB., ...) 

* un exposant public de verification v 

lesdites paires de cles privees et publiques etant li6es par des relations du 
type : 

GA.QA V mod n = 1 ou GA = QA V mod n 

2 - une deuxieme entite appelee dispositif de signature, pouvant etre 
egalement contenue dans ledit objet nomade, 

3 - une troisieme entite appelee dispositif controleur se pr6sentant 
sous la forme d'un terminal et/ou d'un serveur distant connecte a un r6seau 
de communication informatique, 

ledit objet nomade comporte des moyens de connexion pour connecter 
61ectriquement, electromagnetiquement, optiquement ou de maniere 
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acoustique ledit dispositif temoin et ledit dispositif de signature audit 
dispositif contrdleur, 

pour prouver la signature d'un message ledit objet nomade execute les 
6tapes suivantes : 

• 6 tape 1. engagement R du dispositif temoin : 

- le dispositif temoin comporte des premiers moyens de calcul pour tirer au 
hasard et en prive, a chaque appel, au moins une collection de nombres 
entiers {r„ r,, r,, ...},telle que pour chaque facteur premier p,, chaque 
collection comporte un alea r,positif et plus petit que p, , 

- le dispositif temoin comporte des deuxiemes moyens de calcul pour elever 
chaque alea r, a la puissance v ieme modulo p, , pour chaque facteur 
premier p, , 

R, s r. v mod p. 

de sorte que le nombre d' operations arithmgtiques modulo p, a effectuer par 
les deuxiemes moyens de calcul pour calculer chacun des R, pour chacun 
des p. est r6duit par rapport a ce qu'il serait si les operations 6taient 
effectuees modulo n, 

- puis, lesdits deuxiemes moyens de calcul dudit dispositif temoin 
etablissent chaque engagement R modulo n selon la methode des restes 
chinois, 

de telle sorte qu'il y a autant d' engagements R que de collections d'aleas 

• etape 2. defi d destine au dispositif temoin : 

- ledit dispositif de signature comporte des troisiemes moyens de calcul 
pour calculer, en appliquant une fonction de hachage f ayant comme 
arguments le message m et chaque engagement R, au moins une collection 
de defis d {dA, dB, ...} tels que 0 <. dA < v - 1, le nombre des collections 
de defis d dtant egal au nombre d' engagements R, chaque collection {dA, 
dB, ...} comprenant un nombre de defis egal au nombre de paires de cl6s, 
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- le dispositif de signature transmet les collections de defis d au temoin, 

• etape 3. reponse du dispositif temoin au defi d : 

- ledit dispositif temoin comporte des quatriemes moyens de calcul pour 
calculer des reponses D, h partir desdites collections de d6fis d {dA, dB, 
.•.} revues du dispositif controleur, 

en effectuant des operations du type : 

D. = r } . QA, dA . QB, " . ... mod p, 
puis en appliquant la methode des restes chinois, 

de sorte que le nombre d' operations arithmetiques modulo ^ a effectuer par 
les quatriemes moyens de calcul pour calculer chacun des D, pour chacun 
des p. est reduit par rapport a ce qu'il serait si les operations 6taient 
effectu6es modulo n, 

de telle sorte qu'il y a autant de reponses D calculees par le temoin que 
d' engagements R et de defis d, 

- l'objet nomade comporte des moyens de transmission pour transmettre les 
reponses D au dispositif de signature et/ou au dispositif controleur, 

• etape 4. donnees destinees au dispositif controleur : 

- l'objet nomade comporte des moyens de transmission pour transmettre au 
dispositif contrdleur un message signe comprenant : 

/ le message m, 

/ les collections de defis d ou les engagements R, 
/ chaque reponse D 

• etape 5. verification par le dispositif controleur : 

ledit dispositif controleur verifie la coherence des triplets {R, d, D} et la 
signature numerique du message m. 

26. Objet nomade selon Tune quelconque des revendications 21 k 25 
tel que les composantes QA 1? QA 2 , ... (QA. , ...), et QB l5 QB 2 , ... (QB. , 
...)> des cles privees QA, QB, ... sont des nombres tires au hasard k 
raison d'une composante QA. , QB S , ... pour chacun desdits facteurs 



premiers p j5 lesdites cles privees QA, QB, pouvant etre calculees a partir 
desdites composantes QA,, QA 2 , ... (QA ( , ...), et QB t , QB 2 , ... (QB,, ...), 
par la methode des restes chinois, 

ledit dispositif temoin comportant des huitiemes moyens de calcul pour 
calculer lesdites cles publiques GA, GB, 

• en effectuant des operations du type : 

GA. = QA; mod p, 

• puis en appliquant la methode des restes chinois pour etablir GA tel que 

G A = QA V mod n 

ou bien tel que 

GA.QA* mod n = 1 

de sorte que le nombre d' operations arithmetiques modulo p. a effectuer par 
les huitiemes moyens de calcul dudit dispositif temoin pour calculer chacun 
des GA. pour chacun des p. est reduit par rapport a ce qu'il serait si les 
operations etaient effectuees modulo n, 

27. Objet nomade selon la revendication 26 tel que l'exposant public 
de verification v est un nombre premier, 

de sorte que la paire de cles GA, QA confere une securite equivalente a la 
connaissance de la cle privee QA. 

28. Objet nomade selon Tune quelconque des revendications 21 a 25 
tel que l'exposant public de verification v est du type 

v = a k 

oil k est un parametre de securite plus grand que 1 . 

29. Objet nomade selon la revendication 28 tel que : 

- l'exposant public de verification v est du type 

v = 2 k 

ou k est un parametre de securite plus grand que 1, 

- la cle publique GA est un carre gA 2 inferieur k n choisi de telle 
sorte que les deux equations 
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x 2 = gA mod n et x 2 = - gA mod n 

n'ont pas de solution en x dans Tanneau des entiers modulo n 

- ledit dispositif temoin comportant des neuvi&mes moyens de calcul 
pour calculer lesdites composantes QA,, QA 2 , ... (QA. , ...) de la cl6 
privee QA en appliquant des formules telles que : 

GA= QAj^modp, 

ou bien telles que : 

GA .QA, 2exp(k, modppl 
et en extrayant la k ieme racine carree de GA dans le corps de Galois 
CG( Pi ), 

de sorte que le nombre d' operations arithmetiques modulo p. h effectuer par 
les neuviemes moyens de calcul du dispositif temoin pour calculer chacun 
des QA. pour chacun des p. est reduit par rapport a ce qu'il serait si les 
operations etaient effectuees modulo n, 

de sorte que la paire de cles GA, QA confere une securite equivalente a la 
connaissance de la factorisation de n. 

30. Objet nomade selon la revendication 29 tel que pour extraire la k 
rj.ejli^-racine carree de GA dans le corps de Galois CG(p.), 

* dans le cas ou le facteur premier p. est congru a 3 modulo 4, les 
neuviemes moyens de calcul du dispositif temoin appliquent notamment un 
algorithme du type : 

x = (p+l)/4 ; y s x k mod (p-1) ; z = y ; QA. = GA 2 mod p. 

* dans le cas ou le facteur premier p. est congru a 1 modulo 4, les 
neuviemes moyens de calcul du dispositif temoin appliquent notamment un 
algorithme base sur les suites de Lucas. 

31. Dispositif de controle permettant de diminuer la charge de travail 
pendant une session destinee a verifier : 

- T authenticity d'une entite et/ou 

- l'origine et Tintegrite d'un message m, 
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ledit dispositif de controle se presentant sous la forme d'un terminal ou 
d'un serveur distant connecte a un reseau de communication informatique, 
ledit dispositif de controle mettant en oeuvre : 

- un module public n tel que n soit le produit de facteurs premiers 
secrets p l5 p 2 , ... (p., ...) (i etant superieur ou egal a 2) 

n = Pi-Pr P 3 

- des cles publiques GA, GB, ... 

- des exposants publics de verification vx, vy, ... 

lesdites cles privees GA et les cles publiques associees QA etant liees par 
des relations du type : 

GA.QA" mod n = 1 ou GA = QA v *mod n 
ledit dispositif de controle faisant intervenir trois entites : 

- une premiere entite, appelee dispositif temoin, contenue notamment 
dans un objet nomade se presentant par exemple sous la forme d'une carte 
bancaire a microprocesseur, ledit dispositif temoin produisant des 
engagements R, 

- une deuxieme entite appelee dispositif pilote dudit dispositif temoin 
pouvant etre contenue notamment dans ledit objet nomade, 

- une troisieme entite, appelee dispositif controleur, contenue dans 
ledit dispositif de controle, 

ledit dispositif de controle comporte : 

- des moyens de connexion pour connecter electriquernent, 
electromagnetiquement, optiquement ou de maniere acoustique ledit 
dispositif controleur audit dispositif temoin et/ou audit dispositif pilote, 

- des moyens de transmission pour transmettre les donnees produites 
par ledit dispositif controleur vers ledit dispositif temoin et/ou ledit 
dispositif pilote, 

- des moyens de reception pour recevoir les donnees provenant dudit 
dispositif temoin et/ou dudit dispositif pilote, 
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ledit dispositif controleur comporte : 

- des premiers moyens de calcul pour produire un ou plusieurs defis 
d tel que 0 < d < vx - 1, 

- des deuxiemes moyens de calcul pour calculer, en fonction des 
reponses D revues dudit dispositif t6moin et/ou dudit dispositif pilote, des 
engagements R* en effectuant des operations du type : 

R'.= GA d . D va modn 

ou du type : 

R* ( .GA d = D va mod n 

- des troisiemes moyens de calcul pour verifier que les triplets {R% 
d, D} sont coherents 

32. Dispositif de controle permettant de diminuer la charge de travail 
pendant une session destinee a verifier, 

- 1' authenticity d'une entite et/ou 

- l'origine et Pintegrite d'un message m, 

ledit dispositif de controle se presentant sous la forme d'un terminal ou 
d'un serveur distant connecte a un reseau de communication informatique, 
ledit dispositif de controle mettant en oeuvre : 

- un module public n tel que n soit le produit de facteurs premiers 
secrets p p p 2 , ... (p., (i etant superieur ou egal a 2) 

n = Pi-P 2 - P 3 - . 

- des cles publiques GA, GB, ... 

- un exposant public de verification v 

lesdites cles privees GA et les cles publiques associees QA etant liees par 
des relations du type : 

GA.QA* mod n = lou GA = QA v mod n 
ledit dispositif de contrdle faisant intervenir trois entites : 

- une premiere entite, appelee dispositif temoin, contenue notamment 
dans un objet nomadise presentant par exemple sous la forme d'une carte 
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bancaire a microprocesseur, ledit dispositif temoin produisant des 
engagements R, 

- une deuxieme entite, appelee dispositif pilote dudit dispositif 
temoin, pouvant etre contenue notamment dans ledit objet nomade, 

- une troisieme entite, appelee dispositif controleur, contenue dans 
ledit dispositif de controle, 

ledit dispositif de controle comporte : 

- des moyens de connexion pour connecter electriquement, 
electromagnetiquement, optiquement ou de maniere acoustique ledit 
dispositif controleur audit dispositif temoin et/ou audit dispositif pilote, 

- des moyens de transmission pour transmettre les donnees produites 
par ledit dispositif controleur vers ledit dispositif temoin et/ou ledit 
dispositif pilote, 

- des moyens de reception pour recevoir les donnees provenant dudit 
dispositif temoin et/ou dudit dispositif pilote, 

ledit dispositif controleur comporte : 

- des premiers moyens de calcul pour produire un ou plusieurs defis 
d {dA, dB, ...} tels que 0 < dA < v - 1, 

- des deuxiemes moyens de calcul pour calculer, en fonction des 
reponses D re9ues du dudit dispositif temoin et/ou dudit dispositif pilote, 
des engagements R' en effectuant des operations du type : 

R'= GA dA . GB dB . ...D v modn 

ou du type : 

R' . GA dA . GB dB . ... = D v mod n 

- des troisiemes moyens de calcul pour verifier que les triplets {R\ 
d, D} sont coherents. 

33. Dispositif de controle selon la revendication 32 permettant de 
diminuer la charge de travail pendant une session destinee a verifier 
Tauthenticite d'une entite ; 



dans le cas d'une authentification d'entite, le dispositif pilote est appele 
dispositif demonstrateur, 

pour prouver l'authenticite d'une entite ledit dispositif de contrSle execute 
les etapes suivantes : 

• etape 1. engagement R du dispositif temoin : 

- le dispositif temoin produit ail moins un engagement R k partir d'au moins 
une collection d'aleas {r,, r 2 , r 3 , ...},telle que, pour chaque facteur premier 
p., chaque collection comporte un alea r. entier positif et plus petit que p. , 
de telle sorte qu'il y a autant d' engagements R que de collections d'aleas , 

• etape 2. defis produits par le dispositif contrdleur et destines au 
dispositif temoin : 

- lesdits moyens de reception du dispositif de contrSle re?oivent tout ou 
partie de chaque engagement R, transmis par le dispositif demonstrateur, et 
le transmet au dispositif contrdleur, 

- le dispositif contrdleur comporte des premiers moyens de calcul pour 
calculer, apres avoir re?u tout ou partie de chaque engagement R, au moins 
une collection de defis d {dA, dB, ...} tels que 0 < dA < v - 1, le nombre 
des collections de defis d etant ega) au nombre d'engagements R, chaque 
collection {dA, dB, ...} comprenant un nombre de defis egal au nombre de 
paires de cles, 

• etape 3. reponse du dispositif temoin aux defis d : 

- ledit dispositif temoin comporte des quatriemes moyens de calcul pour 
calculer des reponses D , a partir desdites collections de defis d {dA, dB, 
...} re9ues du dispositif controleur, de telle sorte qu'il y a autant de 
reponses D que d'engagements R et de defis d, 

• etape 4. donnees destinees au dispositif contrdleur : 

- les moyens de reception du dispositif de controle re?oivent du dispositif 
demonstrateur chaque reponse D, 

• etape 5, verification par le dispositif contrdleur : 
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ledit dispositif controleur comporte des deuxiemes moyens de calcul pour 
calculer a partir de chaque reponse D un engagement R' en effectuant des 
operations du type : 

R'=GA d \GB dB ....D v modn 

ou du type : 

R' . GA dA . GB dB . D v mod n 

ledit dispositif controleur comporte des troisiemes moyens de calcul pour 
comparer et verifier que chaque engagement reconstruit R' reproduit tout 
ou partie de chaque engagement R transmis a r etape 2 par le dispositif 
demonstrates 

34» Dispositif de controle selon la revendication 32 permettant de 
diminuer la charge de travail pendant une session destinee a verifier 
l'authenticite d'un message m, 

dans le cas d'une authentification d'un message m, le dispositif pilote est 
appele dispositif demonstrateur, 

pour prouver l'authenticite d'un message m, ledit dispositif de controle 
execute les etapes suivantes : 

• etape 1. engagement R du dispositif temoin : 

- le dispositif temoin produit au moins un engagement R a partir d'au moins 
une collection d'aleas {r I? r 2 , r 3 , ...},telle que, pour chaque facteur premier 
p., chaque collection comporte un alea r. entier positif et plus petit que p. , 
de telle sorte qu'il y a autant d' engagements R que de collections d'aleas , 

• etape 2. defis d produits par ledit dispositif controleur et 
destines au dispositif temoin : 

- lesdits moyens de reception du dispositif de controle regoivent au moins 
un jeton T calcule et transmis par le dispositif demonstrateur en appliquant 
une fonction de hachage f ayant comme arguments le message m et chaque 
engagement R, 

- ledit dispositif controleur comporte des premiers moyens de calcul pour 



154 



calculer, apres avoir re$u le jeton T, au moins une collection de defis d 
{dA, dB, o..} tels que 0 < dA < v - 1, le nombre des collections de defis d 
etant egal au nombre d' engagements R, chaque collection {dA, dB, ...} 
comprenant un nombre de defis egal au nombre de paires de cles, 

• etape 3. reponse du dispositif temoin au defi d : 

- ledit dispositif temoin comporte des quatri&mes moyens de calcul pour 
calculer des reponses D, a partir desdites collections de defis d {dA, dB, 
...} re9ues du dispositif controleur, de telle sorte qu'il y a autant de 
reponses D calculees par le t6moin que d' engagements R et de d6fis d, 

• etape 4. donnees destinees au dispositif controleur : 

- les moyens de reception du dispositif de controle re9oivent du dispositif 
demonstrateur chaque reponse D, 

• etape 5. verification par le dispositif controleur : 

ledit dispositif contrdleur comporte des deuxiemes moyens de calcul pour 
calculer a partir de chaque reponse D un engagement R' en effectuant des 
operations du type : 

R'= GA dA . GB dB . ...D v modn 

ou du type ; 

R'. GA d \ GB dB . ...= D v mod n 

ledit dispositif controleur comporte des troisiemes moyens de calcul pour 
calculer, en appliquant la fonction de hachage f ayant comme arguments le 
message m et chaque engagement R\ le jeton T\ 

ledit dispositif controleur comporte des quatriemes moyens de calcul pour 
comparer et verifier que le jeton T' est identique au jeton T transmis a 
T etape 2 par le dispositif demonstrateur. 

35. Dispositif de controle selon la revendication 32 permettant de 
diminuer la charge de travail pendant une session destinee a verifier la 
signature numerique d'un message m, 

dans le cas d'une authentication d'un message m, le dispositif pilote est 
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appele dispositif de signature, 

pour prouver la signature numerique du message m, ledit dispositif de 
controle execute les etapes suivantes : 

• etape 1. engagement R du temoin : 

- le dispositif t6moin produit au moins un engagement R a partir d'au moins 
une collection d'aleas {r,, r 2 , r 3 , ...},telle que pour chaque facteur premier 
p., chaque collection comporte un alea r, entier positif et plus petit que p, , 
de telle sorte qu'il y a autant d' engagements R que de collections d'aleas , 

• etape 2. defis d destines au dispositif temoin : 

- ledit dispositif de signature calcule, en appliquant une fonction de hachage 
f ayant comme arguments le message m et chaque engagement R, au moins 
une collection de defis d {dA, dB, ...} tels que 0 < dA < v - 1, le nombre 
des collections de defis d etant egal au nombre d' engagements R, chaque 
collection {dA, dB, ...} comprenant un nombre de defis egal au nombre de 
paires de cles, 

- le dispositif de signature transmet les collections de defis d au 
temoin, 

• etape 3. reponse du dispositif temoin au defi d : 

- ledit dispositif temoin comporte des quatriemes moyens de calcul pour 
calculer des reponses D, a partir desdites collections de defis d {dA, dB, 
.••}, de telle sorte qu'il y a autant de reponses D calculees par le temoin que 
d' engagements R et de defis d, 

- ledit dispositif temoin comporte des moyens de transmission pour 
transmettre les reponses D au dispositif de signature et/ou au dispositif 
controleur, 

• etape 4. donnees destinees au dispositif controleur : 

- les moyens de reception du dispositif de controle re?oivent du dispositif 
de signature un message signe comprenant : 

/ le message m+ 




/ les collections de defis d ou les engagements R, 
/ chaque reponse D 

* etape 5. verification par le dispositif contrdleur : 
cas ou le dispositif contrdleur re^oit la collection des defis d, 

dans le cas ou le dispositif contr61eur re9oit les collections des d6fis d et 
des r^ponses D, 

ledit dispositif contrdleur comporte 

* des premiers moyens de calcul pour calculer k partir de chaque 
reponse D un engagement R' en effectuant des operations du type : 

R'= GA dA . GB dB . ...D Y modn 

ou du type : 

R \ G A d \ GB ** . . s D v mod n 

* des deuxiemes moyens de calcul pour calculer chaque defi d% en 
appliquant la fonction de hachage f ayant comme arguments le message m 
et chaque engagement reconstruit R\ 

* des troisifcmes moyens de calcul pour comparer et verifier que 
chaque defi d' est identique au defi d figurant dans le message sign6, 

cas ou le dispositif contrdleur re^oit la collection des engagements R 
dans le cas ou le dispositif controleur re?oit la collection des engagements 
R et des reponses D, 
ledit dispositif controleur comporte 

* des premiers moyens de calcul pour calculer chaque defi d\ en 
appliquant la fonction de hachage f ayant comme arguments le message m 
et chaque engagement R, 

* des deuxiemes moyens de calcul pour calculer alors la collection 
des engagements R* en effectuant des operation du type ^ 

R'=GA d \GB d \ ...D v modn 

ou du type : 

R\ G A d A . GB d B . . . . = D v mod n 



* des troisiemes moyens de calcul pour comparer et verifier que 
chaque engagement R' reconstruit est identique a 1' engagement R figurant 
dans le message signe. 

36. Dispositif de controle selon Tune quelconque des 
revendications 31 a 35 tel que les composantes QA„ QA 2 , ... (QA,, ...), et 
QB„ QB 2 , ... (QB, , ...), des cles privees QA, QB, ... sont des nombres 
tir6s au hasard a raison d'une composante QA, , QB, , ... pour chacun 
desdits facteurs premiers p,riesdites cles privees QA, QB, pouvant 6tre 
calculees a partir desdites composantes QA„ QA 2 , ... (QA,, ...), et QB„ 
QB 2 , ... (QB,, ...), ... par la methode des restes chinois, 

ledit dispositif temoin comportant des moyens de calcul pour calculer 
lesdites cles publiques GA, GB, 

• en effectuant des operations du type : 

GA. = QA, v modp, 

• puis en appliquant la methode des restes chinois pour eteblir GA tel que 

GA = QA ¥ mod n 

ou bien tel que 

GA.QA' mod n = 1 

de sorte que le nombre d' operations arithmetiques modulo p, a effectuer par 
les huitiemes moyens de calcul dudit dispositif temoin pour calculer chacun 
des GA. pour chacun des p. est reduit par rapport a ce qu'il serait si les 
operations etaient effectuees modulo n, 

37. Dispositif de contr61e selon la revendication 36 tel que 
l'exposant public de verification v est un nombre premier, 

de sorte que la paire de cles GA, QA confere une securite equivalente a la 
connaissance de la cle privee QA. 

38. Dispositif de contr61e selon Tune quelconque des 
revendications 31 a 35 tel que l'exposant public de verification v est du 
type ' . 
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ou k est un parametre de securite plus grand que 1 . 

39. Dispositif de controle selon la revendication 38 tel que : 

- Texposant public de verification v est du type 

v = 2 k 

ou k est un parametre de securite plus grand que 1 , 

- la cle publique GA est un carr6 gA 2 inferieur k n choisi de telle 
sorte que les deux equations 

x 2 = gA mod n et x 2 = - gA mod n 
n'ont pas de solution en x dans l'anneau des entiers modulo n 

- ledit dispositif temoin comportant des neuviernes moyens de calcul 
pour calculer les dites composantes QA,, QA 2 , ... (QA, , ...) de la cle 
privee QA en appliquant des formules telles que : 

GA= QA^^modp, 

ou bien telles que : 

GA .QA. 2exp(k) mod Pi = 1 
et en extrayant la k ieme racine carree de GA dans le corps de Galois 
CG( Pi ) 

de sorte que le nombre d' operations arithmetiques modulo p. a effectuer par 
les neuviernes moyens de calcul du dispositif temoin pour calculer chacun 
des QA. pour chacun des p. est reduit par rapport a ce qu'il serait si les 
operations etaient effectuees modulo n, 

de sorte que la paire de cles GA, QA confere une securite equivalente k la 
connaissance de la factorisation de n. 

40. Dispositif de controle selon la revendication 39 tel que pour 
extraire la k ieme racine carree de GA dans le corps de Galois CG(p ( ), 

* dans le cas ou le facteur premier p. est congru a 3 modulo 4, les 
neuviernes moyens de calcul du dispositif temoin appliquent notamment un 
algorithme du type : 
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x = (p+l)/4 ; y = x" mod (p-1) ; z = y ; QA. = GA Z mod p. 
* dans le cas ou le facteur premier p. est congru a 1 modulo 4, les 
neuviemes moyens de calcul du dispositif temoin appliquent notamment un 
algorithme bas6 sur les suites de Lucas. 
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Par consequent, le nombre: x = -. V(/ , +1)/2 (mod/?) est alors une 
solution a P equation : x 2 = c (mod p). 

Les relations suivantes sont utilisees pour calculer les suites {U} et {V} 
ensemble. 

Pour doubler 1' indice, u 2 i = W/ .v x - ; v 2 ./ = vf - 2xr* 
Pour ajouter 1 a 1' indice, u M = {Sm l + v t )/2; v /+1 = (Am ( + S.v t )/2 
La procedure suivante utilise trois variables : x pour y pour v,et z pour c. 
L'indice cible est (p+l)/2 ; il est code par une sequence de j bits. Cette 
sequence est examinee du bit de poids fort au bit de poids faible. 

1 . Donner a x la valeur 0 ; donner k y la valeur 2 ; donner k z la valeur 1 . 

2. Rep6tery fois la sequence suivante. 

Remplacer x par x.y (mod /?). 
Remplacer y par y- 2.z (mod p) 
Remplacer z par z 2 (mod p). 

Si le j ieme bit codant T indice cible vaut 1, executer la 
sequence suivante. 

Remplacer t par x. 

Remplacer x par (S.t + y)/2 (mod /?). 
Remplacer y par (S.f + A/yJ/2 (mod p) 
Remplacer z par z.c (mod /?). 

3. Remplacer y par y2 (mod />)• Le resultat cherche est y. 
2.2. Algorithme d'Euclide 

L'algorithme d'Euclide opere la division des entiers. Soient deux entiers 
positifs x et y tels que x soit plus grand que y. Divisons x par y pour obtenir 
un quotient q positif et plus petit que ou egal a x et un reste r positif ou nul 
et plus petit que y. 

Soit, 0 < y < x 
Par consequent, x = q.y + r avec 0 < # < x et 0 < r < y 
2.2.1. Coefficients de Bezout et pgcd 
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